首页
社区
课程
招聘
某P保护下的MiniFilter通信问题
发表于: 2020-4-30 17:23 4424

某P保护下的MiniFilter通信问题

2020-4-30 17:23
4424

最近学习了一下MiniFilter通信,测试效率比IO快得多,但是发现某P驱动加载后,MiniFilter通信速度直接慢了上百倍。
比如,不上游戏的时候通信10000次用时15毫秒,上游戏以后同样10000次通信就1600+毫秒了。
通信速度变慢跟读写没有关系,只是通信速度。
测试环境为Win7SP1,某P有IDT hook 有两个驱动还注册了一堆MiniFilter,尝试过禁用其中一个驱动没解决问题。
WIN10没有这个情况,感觉像是IDT HOOK的问题,但是只是测试通信速度,并没有读写操作,跟IDT应该也没啥关系啊,想不通,大佬们指点一下。。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (14)
雪    币: 914
活跃值: (2553)
能力值: ( LV5,RANK:68 )
在线值:
发帖
回帖
粉丝
2
不搞P保护,速度就上来了。  ------------分分钟解决问题。
如果你非要搞,那就把你也解决了。------------解决了问题,解决了提出问题的人
2020-4-30 17:48
0
雪    币: 830
活跃值: (47)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
万剑归宗 不搞P保护,速度就上来了。 ------------分分钟解决问题。 如果你非要搞,那就把你也解决了。------------解决了问题,解决了提出问题的人
。。。 不能这么干啊
2020-4-30 19:11
0
雪    币: 4024
活跃值: (3878)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
刚学sfilter 还没接触到minifilter
2020-4-30 19:28
0
雪    币: 830
活跃值: (47)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
没人遇到么。。 自己顶顶
2020-4-30 21:36
0
雪    币: 12857
活跃值: (9172)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
6

minifilter不就是换皮版的ioctl,测试效率比IO快得多八成是你自己IOCTL代码或者buffer模式有问题
不信你自己windbg给自己的messagecallback打个断点,R3调用入口就是NtDeviceIoControlFile


顺便,idthook+fakecr3之后,每次读写都要最少两次cr3 switch,能不卡就有鬼了

最后于 2020-4-30 22:44 被hzqst编辑 ,原因:
2020-4-30 22:43
0
雪    币: 830
活跃值: (47)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
hzqst minifilter不就是换皮版的ioctl,测试效率比IO快得多八成是你自己IOCTL代码或者buffer模式有问题不信你自己windbg给自己的messagecallback打个断点,R3调用入口 ...
是嘛,但是之前听说某P检测IO通信但是不检测Mini啊 这是啥原理
2020-4-30 22:45
0
雪    币: 12857
活跃值: (9172)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
8

最后于 2020-4-30 22:49 被hzqst编辑 ,原因:
2020-4-30 22:48
0
雪    币: 830
活跃值: (47)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
hzqst minifilter不就是换皮版的ioctl,测试效率比IO快得多八成是你自己IOCTL代码或者buffer模式有问题不信你自己windbg给自己的messagecallback打个断点,R3调用入口 ...
大佬,我没读写啊,只是通信一下而已就返回了。就这样效率还慢了100多倍
2020-5-1 00:07
0
雪    币: 830
活跃值: (47)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
测试把Hook IDT的驱动禁止加载后速度恢复正常了,但是如果是IDT HOOK的问题我没有读写为什么会降低效率呢?
2020-5-1 11:01
0
雪    币: 830
活跃值: (47)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
人工置顶
2020-5-1 14:50
0
雪    币: 12857
活跃值: (9172)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
12
洛臻 测试把Hook IDT的驱动禁止加载后速度恢复正常了,但是如果是IDT HOOK的问题我没有读写为什么会降低效率呢?
msr hook
2020-5-2 11:25
0
雪    币: 385
活跃值: (90)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
13
给我涩哥顶贴!!!
2020-5-3 00:58
0
雪    币: 830
活跃值: (47)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
三只跳蚤 给我涩哥顶贴!!!
车轮滚滚?
2020-5-3 22:24
0
雪    币: 259
活跃值: (283)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
想起来win10 PG检测msr hook
2020-5-5 03:47
0
游客
登录 | 注册 方可回帖
返回
//