Unexpected

撒哈拉里的鱼

11^# 撒哈拉里的鱼发表于 2008-11-18 21:47

你没搞过那个我说了也没什么意义。
一般的HOOK一下ntdll.dll导出的ZwQueryDirectoryFile，ZwCreateFile这些函数，做些判断就好了。更底层一些的，就要IRP那边去了。HOOK SSDT来接管ntdll.dll中的函数写一般的普通驱动就行了。

machine

12^# machine 发表于 2008-11-19 08:55

Hook的话，应该用c++实现容易些吧。

撒哈拉里的鱼

13^# 撒哈拉里的鱼发表于 2008-11-19 10:26

SSDT Hook要写驱动，一般用C和ASM结合。
我去年做过一个简单的演示，http://www.icylife.net/yunshu/show.php?id=435