[求助]内核里面怎么拦截R3的CreateFile打开设备-求助问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (2)
correy 雪币： 1140 活跃值： (3121) 能力值： ( LV12，RANK：385 ) 在线值：发帖 57 回帖 133 粉丝 16 关注私信	correy 4 2 楼 if (FlagOn(Data->Iopb->TargetFileObject->Flags, FO_VOLUME_OPEN)) { } 2024-7-22 11:17 0
Halu_007 雪币： 45 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	Halu_007 3 楼因为应用层的程序一般是CreateFile(符号链接)，IO管理器通过符号链接找到对应的设备名，然后IRP直接发到这个设备上。如果这个设备上没Attach过滤器，那么过滤器就截获不到这个请求。 IO管理发送的IRP_MJ_CREATE请求是把设备名去掉了，所以截获到打开设备请求的FileObject里的文件名是空，是正常的。例如打开c:\1.txt, 截获到的打开请求里的FileObject的文件名是 \1.txt, 不含有设备名。 2024-8-17 20:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (2)
correy 雪币： 1140 活跃值： (3121) 能力值： ( LV12，RANK：385 ) 在线值：发帖 57 回帖 133 粉丝 16 关注私信	correy 4 2 楼 if (FlagOn(Data->Iopb->TargetFileObject->Flags, FO_VOLUME_OPEN)) { } 2024-7-22 11:17 0
Halu_007 雪币： 45 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	Halu_007 3 楼因为应用层的程序一般是CreateFile(符号链接)，IO管理器通过符号链接找到对应的设备名，然后IRP直接发到这个设备上。如果这个设备上没Attach过滤器，那么过滤器就截获不到这个请求。 IO管理发送的IRP_MJ_CREATE请求是把设备名去掉了，所以截获到打开设备请求的FileObject里的文件名是空，是正常的。例如打开c:\1.txt, 截获到的打开请求里的FileObject的文件名是 \1.txt, 不含有设备名。 2024-8-17 20:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复