用IDA看一些EXE文件和驱动,会发现很多DeviceIoControl的调用,有时候对一些IOCTL_CODE的作用不甚明白,而下断点又不准确,于是就写了个小工具过滤一下 SSDT HOOK 了 ZwDeviceIoControlFile 和 ZwFsControlFile 输入待过滤的进程和IOCTL_CODE 得到过滤信息 缓冲区大小、地址、内容(处理的不好) 目标文件对象、设备对象、驱动对象和对象名 由于偷了懒,需要用monitor.exe加载 DebugView或Windbg查看输出 必须进程名和CODE都输入才可过滤,有兴趣的可以在上面进行修改
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!