比如,a.txt 原本内容是111,加载文件过滤驱动后,看到的却是222.
xx
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
这里只是很简单的概述,用minifilter:
加解密写入的和保存的文本是1111,通过驱动打开文件读取的时候解密2222。[IRP_MJ_READ/IRP_MJ_WRITE]
单纯的文本替换,驱动打开读取文件的时候匹配1111,替换返回给进程2222。[IRP_MJ_READ]