[求助]关于IoDeviceParse和IoFileParse-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]关于IoDeviceParse和IoFileParse

发表于: 2009-2-7 18:01 4890

[求助]关于IoDeviceParse和IoFileParse

qpSmallBoy 活跃值

2009-2-7 18:01

4890

在VXK同学的<关于重定向的hook到底是哪个？>一文中,有这么句话:

其实为啥不hook iopFileParse呢？因为File一旦有XX Mask后基本打开文件都不走那里了~~
但是还是会走iopDeviceParse~~

说的是一个奇特的东西~~其实也是一个object，open+0x14的地方的object如果obXXX里得到那个object不为空且ACCESS MASK不XXX，就不走iopFileParse就是说不用XX分析了，直接走另外的路线了~~哈哈~~
不过最后经过iopDeviceParse~

今天看可下wrk中的iopDeviceParse和iopFileParse,看到iopFileParse在修改了几个变量后仍然调用iopDeviceParse,看了下iopDeviceParse的代码,和上面说的对不上号呀

疑问:
1,open+0x14的open是什么怎么看?
2,file的什么mask就不走那里了,当mask是什么值的时候走那里
3,"就不走iopFileParse就是说不用XX分析了"的XX是什么

那篇文章的地址是:
http://hi.baidu.com/killvxk/blog/item/e6e6374ddb694affd72afce8.html

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (3)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼这个，让老V自己来回答吧~ 2009-2-7 18:54 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 3 楼请用IDA~~~~~ 嘿嘿~ IopDeviceParse不是必要的 IopFileParse也不是必要的重定位文件还是的用该死的Disk法 2009-2-7 19:35 0
qpSmallBoy 雪币： 21 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 34 粉丝 0 关注私信	qpSmallBoy 1 4 楼看Vxk同学的文章太痛苦了,本来就不明白,还写好多XX,就更XX了..., 该死的Disk法?能不能进一步XX下. 2009-2-7 21:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

qpSmallBoy

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼这个，让老V自己来回答吧~ 2009-2-7 18:54 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 3 楼请用IDA~~~~~ 嘿嘿~ IopDeviceParse不是必要的 IopFileParse也不是必要的重定位文件还是的用该死的Disk法 2009-2-7 19:35 0
qpSmallBoy 雪币： 21 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 34 粉丝 0 关注私信	qpSmallBoy 1 4 楼看Vxk同学的文章太痛苦了,本来就不明白,还写好多XX,就更XX了..., 该死的Disk法?能不能进一步XX下. 2009-2-7 21:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复