首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]驱动过滤怎么截获到U盘读写的数据 0.00雪花
发表于: 2012-3-30 15:24 1218

[旧帖] [求助]驱动过滤怎么截获到U盘读写的数据 0.00雪花

JinEver 活跃值
2012-3-30 15:24
1218
采用磁盘过滤
在过滤驱动中对IRP_MJ_Read设一个完成例程,在该IRP被底层驱动完成后,再从该IRP中把读取的数据取出来,判断读的是奇数还是偶数,如果是奇数,就直接结束,如果是偶数,就改变数据,再结束IRP。
   问题:
    1. 这样做对不对?
    2. 如果是对的,那么读取的数据是不是由IRP->Associatedirp.systembuffer记录

[课程]Android-CTF解题方法汇总!

收藏
免费 0
支持
分享
最新回复 (1)
hysky
雪    币: 232
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
if(irp->MdlAddress != NULL)
       buf =   
       (PUCHAR) MmGetSystemAddressForMdlSafe(irp->MdlAddress,NormalPagePriority);
else
       buf = (PUCHAR)irp->UserBuffer;
if(buf == NULL)
       buf = (PUCHAR)irp->AssociatedIrp.SystemBuffer;
使用上面的if语句简单的判断下,就不用理会它是采用哪种方式了,都可以把数据读出来了吧!
2012-3-30 16:32
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//