[求助]监控windows系统的所有打印机-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 2 楼拦截并分析发送给spoolv的lpc，或者直接hook spoolv 2013-12-2 00:07 0
IamHuskar 雪币： 1392 活跃值： (5207) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 68 关注私信	IamHuskar 4 3 楼大哥，这个拦截是否能在驱动做，不HOOK SSDT，64位没法弄SSDT。难道如果不能SSDT HOOK就只能在R3做了吗。 2014-6-4 09:23 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 4 楼私信我说的ring3方法不比ssdt hook弱的。 2014-6-4 20:32 0
IamHuskar 雪币： 1392 活跃值： (5207) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 68 关注私信	IamHuskar 4 5 楼主要是我考虑到可能R3的钩子很容易被恢复。本来准备shadow SSDT HOOK NtGdiStartDoc enddoc startpage 大部分是可以的。但是发现某些情况比如不用EMF格式这种情况下打印不经过这些函数，所以作废了。也许真的R3下做是最好的了。如果兄台R0下有好的办法还望不吝赐教啊 2014-6-5 08:41 0
mysmartid 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	mysmartid 6 楼是否也可以告知，想学习一下，谢谢! 2014-6-6 10:47 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 7 楼打印机是串口吧？他总有驱动通信的 2014-6-6 13:23 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 8 楼有并口和USB的针对硬件端口拦截不现实 2014-6-6 13:29 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 9 楼可以看看OpenPrinterW是怎么实现的我以前弄过 R3的 2014-6-6 13:51 0
FishSeeWater 雪币： 768 活跃值： (535) 能力值： ( LV13，RANK：460 ) 在线值：发帖 60 回帖 860 粉丝 8 关注私信	FishSeeWater 11 10 楼 N年前搞过机房资源控制，其中有打印控制，最后代码搞丢了，，否则可以给你参考 R3Hook 足以了。怕恢复，可以做的流氓点，搞个影子线程检测。 2014-6-6 14:09 0
hulucc 雪币： 81 活跃值： (110) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 11 楼如果只是支持个别打印机确实足够了,我做类似项目的时候有遇到过公司直接开发驱动自定义通讯的打印机,完全不走window的标准打印函数,r3什么都没有,要我说还是端口拦截最靠普,毕竟就3个,lpt,com,usb.之后只要针对实际情况做内容解析就好了 2014-6-6 16:50 0
IamHuskar 雪币： 1392 活跃值： (5207) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 68 关注私信	IamHuskar 4 12 楼还存在虚拟打印机，直接打成PDF保存的，不通过物理硬件。 2014-6-6 18:17 0
IamHuskar 雪币： 1392 活跃值： (5207) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 68 关注私信	IamHuskar 4 13 楼恩。还是决定R3做了，要不是WIN8 X64没法SHADOW SSDT HOOK，就直接分析LPC了，现在要换到R3做通讯和数据分析了。主要是想拿到打印的进程，文件信息和的打印的数据。 2014-6-6 18:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 2 楼拦截并分析发送给spoolv的lpc，或者直接hook spoolv 2013-12-2 00:07 0
IamHuskar 雪币： 1392 活跃值： (5207) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 68 关注私信	IamHuskar 4 3 楼大哥，这个拦截是否能在驱动做，不HOOK SSDT，64位没法弄SSDT。难道如果不能SSDT HOOK就只能在R3做了吗。 2014-6-4 09:23 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 4 楼私信我说的ring3方法不比ssdt hook弱的。 2014-6-4 20:32 0
IamHuskar 雪币： 1392 活跃值： (5207) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 68 关注私信	IamHuskar 4 5 楼主要是我考虑到可能R3的钩子很容易被恢复。本来准备shadow SSDT HOOK NtGdiStartDoc enddoc startpage 大部分是可以的。但是发现某些情况比如不用EMF格式这种情况下打印不经过这些函数，所以作废了。也许真的R3下做是最好的了。如果兄台R0下有好的办法还望不吝赐教啊 2014-6-5 08:41 0
mysmartid 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	mysmartid 6 楼是否也可以告知，想学习一下，谢谢! 2014-6-6 10:47 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 7 楼打印机是串口吧？他总有驱动通信的 2014-6-6 13:23 0
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 8 楼有并口和USB的针对硬件端口拦截不现实 2014-6-6 13:29 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 9 楼可以看看OpenPrinterW是怎么实现的我以前弄过 R3的 2014-6-6 13:51 0
FishSeeWater 雪币： 768 活跃值： (535) 能力值： ( LV13，RANK：460 ) 在线值：发帖 60 回帖 860 粉丝 8 关注私信	FishSeeWater 11 10 楼 N年前搞过机房资源控制，其中有打印控制，最后代码搞丢了，，否则可以给你参考 R3Hook 足以了。怕恢复，可以做的流氓点，搞个影子线程检测。 2014-6-6 14:09 0
hulucc 雪币： 81 活跃值： (110) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 11 楼如果只是支持个别打印机确实足够了,我做类似项目的时候有遇到过公司直接开发驱动自定义通讯的打印机,完全不走window的标准打印函数,r3什么都没有,要我说还是端口拦截最靠普,毕竟就3个,lpt,com,usb.之后只要针对实际情况做内容解析就好了 2014-6-6 16:50 0
IamHuskar 雪币： 1392 活跃值： (5207) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 68 关注私信	IamHuskar 4 12 楼还存在虚拟打印机，直接打成PDF保存的，不通过物理硬件。 2014-6-6 18:17 0
IamHuskar 雪币： 1392 活跃值： (5207) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 68 关注私信	IamHuskar 4 13 楼恩。还是决定R3做了，要不是WIN8 X64没法SHADOW SSDT HOOK，就直接分析LPC了，现在要换到R3做通讯和数据分析了。主要是想拿到打印的进程，文件信息和的打印的数据。 2014-6-6 18:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复