我目前正在学习内核,然后我想写一个内核进程监控、注册表监控的驱动A.sys,突然想到好像内核监控到了信息也没有什么官方提供的类似R3 DeviceIoControl的方式去通知我的R3程序。查阅了资料之后发现minifilter,有端口通信的方式可以和R3互动,那么我是否可以编写一个minifilter驱动作为我A.sys和R3的中转站? A.sys 先将消息通知给 minifilter,然后minifilter将信息通过端口通信传给R3或者说我直接不要A.sys了,所有的功能全部写在minifilter当中呢?还有个问题,minifilter我看都叫做文件过滤驱动,如果像我上述说的这么做,我感觉怪怪的还有R0主动通知R3的主流方式是什么?先提前谢谢大哥们的讲解了
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
iamasbcx 可以 有几个杀软就是这样 minifilter端口通信的