如果想要过滤某个驱动所接收的IRP,那么HOOK掉派遣例程/挂接过滤驱动等都是可以的,但是检测的方法也不少,想要隐蔽,稳定(说白了就是猥琐)我感觉还是HOOK掉IoCallDrver比较好吧,因为这个函数被导出了,下手也比较容易,把函数分析的彻底一点,INLINE HOOK巧妙一些,或者修改某个CALL指令,都可以实现,而且这一种方法能够一劳永逸,因为这样做的话能够截取到所有内核模块的IRP发送,IO管理器是调用这个函数来发送滴。 HOOK之后只要分析一下IRP就可以了,只过滤自己感兴趣的内容,其他一律放行(你可以不放行,但是后果自负),包括修改IRP数据,提取自己所需要的东西,威力还是不小的。。。。。。 |
郑重声明:资讯 【IRP HOOK---乱弹_Sid的博客--编程,免杀,电脑技术_百度空间】由 发布,版权归原作者及其所在单位,其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实,请读者仅作参考,并请自行核实相关内容。若本文有侵犯到您的版权, 请你提供相关证明及申请并与我们联系(qiyeku # qq.com)或【在线投诉】,我们审核后将会尽快处理。
—— 相关资讯 ——
