[求助]关于发IRP给FSD-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]关于发IRP给FSD

发表于: 2009-10-7 17:39 4674

[求助]关于发IRP给FSD

寒冰心结

2009-10-7 17:39

4674

关于发送IRP给FSD.进行文件操作..

看到网上这样一句话.不很理解..

所以请教一下大家..

"基本原理就是自己构造一个irp出来，然后直接IoCallDriver发送到fsd。但是 icesword做了更多的工作。它直接读取ntfs.sys 和fastfat.sys，从pe文件格式的角度上计算出正确的fsd的dispatch routine地址，然后再call。"

大致了解了一下发IRP给FSD操作文件的流程..

假设操作C:\\123.txt..

则首先IoCreateFile打开C:

把HANDLE.转换成FILE_OBJECT..

接着FILE_OBJECT_vpb->DeviceObject

分配一个IRP..填写各个IRP参数..

感觉这句可能和问题有关.IrpToSend=IoGetNextIrpStackLocation(Irp);

然后IoCallDriver....

不理解.如果已经得到FSD的DisPacth地址.如何发给它?谢谢指点..

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费

支持

最新回复 (2)
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 25 关注私信	qihoocom 9 2 楼直接push irp 和device object,call dispatch 2009-10-7 17:44 0
寒冰心结雪币： 8784 活跃值： (3406) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 239 粉丝 0 关注私信	寒冰心结 3 楼原来是这样啊.. 谢谢楼上大牛热心指点.. 2009-10-7 18:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

寒冰心结

发帖

239

回帖

RANK

关注

私信

他的文章

[原创]IRP操作文件填坑日记 9637
[求助]关于IRP操作文件 3694
[求助]拦截DLL注入的思路 7210
[求助]LoadImageCallBack Process problem 4627

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 25 关注私信	qihoocom 9 2 楼直接push irp 和device object,call dispatch 2009-10-7 17:44 0
寒冰心结雪币： 8784 活跃值： (3406) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 239 粉丝 0 关注私信	寒冰心结 3 楼原来是这样啊.. 谢谢楼上大牛热心指点.. 2009-10-7 18:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]关于发IRP给FSD

账号登录 验证码登录

账号登录

验证码登录