|
|
|---|---|
|
|
|
|
|
我也想啊。。。搞了好几天了,同步机制上遇到一些问题没法解决。大概情况是DeviceIoContorl的控制码处理流程(IOCTL_READ、IOCTL_WRITE)和PsSetCreateProcessNotifyRoutineEx的分派函数事件同步机制有冲突。 PsSetCreateProcessNotifyRoutineEx的分派函数里面只要一调用KeWaiForSingleObject就把整个驱动程序都挂住了,即使在IOCTL_WRITE里面KeSetEnvet也无效。 但是反过来在IOCTL_READ中KeWaiForSingleObject,在PsSetCreateProcessNotifyRoutineEx分派函数中KeSetEvent倒没问题可以跑通,所以现在只做到了可以在R0把进程路径传回给R3,但是R3的Validate结果不能传回给R0,因为此时R0的PsSetCreateProcessNotifyRoutineEx分派函数正在调用KeWaitForSingleObject等待接收R3返回的校验结果,把整个驱动都给挂住假死了,导致ICTL_WRITE里面的KeSetEvent信号放行PsSetCreateProcessNotifyRoutineEx无法执行,进而一直陷入僵死状态。。。大概就是这么个情况,大佬们有啥意见不?
最后于 2022-3-31 23:49
被碧水秋沙编辑
,原因:
|
|
|
|
|
|
|
|
|
大表哥,IDAPython7.7,咋装第三方库啊 |
|
|
666,谢大佬指点,还没搞过minifilter,我来研究一下,有问题再来请教。 
|
|
|
还是这里的大佬多~百度了三天没有解决方案,大佬们两三句话就指明了方向了
|
|
|
|
|
|
666, 又学到了,马上从github上把msdn实例代码爬下来了,有好多例子可以研究了
|
|
|
|
hzqst
