能力值:
( LV2,RANK:10 )
|
-
-
2 楼
拦截并分析发送给spoolv的lpc,或者直接hook spoolv
|
能力值:
( LV13,RANK:240 )
|
-
-
3 楼
大哥,这个拦截是否能在驱动做,不HOOK SSDT,64位没法弄SSDT。
难道如果不能SSDT HOOK就只能在R3做了吗。
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
私信我说的ring3方法不比ssdt hook弱的。
|
能力值:
( LV13,RANK:240 )
|
-
-
5 楼
主要是我考虑到可能R3的钩子很容易被恢复。
本来准备shadow SSDT HOOK NtGdiStartDoc enddoc startpage
大部分是可以的。但是发现某些情况比如不用EMF格式这种情况下打印不经过这些函数,所以作废了。也许真的R3下做是最好的了 。如果兄台R0下有好的办法 还望不吝赐教啊
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
是否也可以告知,想学习一下,谢谢!
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
打印机是串口吧?他总有驱动通信的
|
能力值:
( LV4,RANK:50 )
|
-
-
8 楼
有并口和USB的 针对硬件端口拦截不现实
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
可以看看OpenPrinterW是怎么实现的我以前弄过 R3的
|
能力值:
( LV13,RANK:460 )
|
-
-
10 楼
N年前搞过机房资源控制,其中有打印控制,最后代码搞丢了,,否则可以给你参考
R3Hook 足以了。 怕恢复,可以做的流氓点,搞个影子线程检测。
|
能力值:
( LV3,RANK:20 )
|
-
-
11 楼
如果只是支持个别打印机确实足够了,我做类似项目的时候有遇到过公司直接开发驱动自定义通讯的打印机,完全不走window的标准打印函数,r3什么都没有,要我说还是端口拦截最靠普,毕竟就3个,lpt,com,usb.之后只要针对实际情况做内容解析就好了
|
能力值:
( LV13,RANK:240 )
|
-
-
12 楼
还存在虚拟打印机,直接打成PDF保存的,不通过物理硬件。
|
能力值:
( LV13,RANK:240 )
|
-
-
13 楼
恩。还是决定R3做了,要不是WIN8 X64没法SHADOW SSDT HOOK,就直接分析LPC了 ,现在要换到R3做通讯和数据分析了。主要是想拿到打印的进程,文件信息和的打印的数据。
|
|
|