[讨论]一个关于atapi irp hook奇怪的问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (2)
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 6 关注私信	linziqingl 4 2 楼你是不是想拦截磁盘的读写SRB? 其实对硬盘IO的IRP末梢在磁盘的端口驱动 atapi.sys (IDE接口硬盘、SATA硬盘) 但是也有磁盘的端口驱动是 Scsi.sys 的，再说磁盘的端口驱动我们也是可以修改为我们指定的驱动也并不一定是上面我所说的。想知道磁盘的端口驱动 IRP 最终到哪里去是需要对磁盘设备挂载堆叠关系的分析的。至于你的驱动在你机器上可用但是到别的机器上无效，那你就用 DriverTree 看看磁盘设备挂载堆叠关系自然明白为什么了！其实在以前 XP 系统我曾经用拦截磁盘端口驱动的读写SRB做系统动态还原效果还是不错的，现在用WIN7了，对磁盘的读写还用这种办法是不行的，因为早已经有其他的办法可以穿透了。 2014-6-1 19:06 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 3 楼果然是大神啊好的，我先去研究下看看您的意思是索，磁盘的端口驱动不止是atapi么？甚至是不止scsi？ 2014-6-1 19:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (2)
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 6 关注私信	linziqingl 4 2 楼你是不是想拦截磁盘的读写SRB? 其实对硬盘IO的IRP末梢在磁盘的端口驱动 atapi.sys (IDE接口硬盘、SATA硬盘) 但是也有磁盘的端口驱动是 Scsi.sys 的，再说磁盘的端口驱动我们也是可以修改为我们指定的驱动也并不一定是上面我所说的。想知道磁盘的端口驱动 IRP 最终到哪里去是需要对磁盘设备挂载堆叠关系的分析的。至于你的驱动在你机器上可用但是到别的机器上无效，那你就用 DriverTree 看看磁盘设备挂载堆叠关系自然明白为什么了！其实在以前 XP 系统我曾经用拦截磁盘端口驱动的读写SRB做系统动态还原效果还是不错的，现在用WIN7了，对磁盘的读写还用这种办法是不行的，因为早已经有其他的办法可以穿透了。 2014-6-1 19:06 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 3 楼果然是大神啊好的，我先去研究下看看您的意思是索，磁盘的端口驱动不止是atapi么？甚至是不止scsi？ 2014-6-1 19:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

账号登录 验证码登录