AK922加載后HOOK了IofCompleteRequest函式,使得所有完成的IRP請求都經過他處理,在HOOK的函式中使用了這樣的判斷代碼:
*******************************************************************
if ( pIrpStack->MajorFunction == IRP_MJ_DIRECTORY_CONTROL &&
pIrpStack->MinorFunction == IRP_MN_QUERY_DIRECTORY )
{
//這部分是對發送的查詢目錄IRP進行處理
}
********************************************************************
if ( pIrpStack->MajorFunction == IRP_MJ_READ )
{
if ( IsDiskDevice( pIrpStack->DeviceObject ) ) //IsDiskDevice判斷是否在初始化遍歷的磁盤設備串列中, 如果在就認為這個IRp是發送給物磁盤理設備的 ,這樣做到了disk級的處理
{
//后續處理,過濾NTFS和FAT32檔案系統下的AK922檔案
}
}
在這樣的過濾下,我使用Readfile讀取磁盤資料,為什么還會讀到AK922這個檔案的資料呢?
Readfile發送的IRP就是IRP_MJ_READ型別,且發送的物件就是磁盤設備,按理說應該也受到影響才對??
希望大家能點撥一些,謝謝
uj5u.com熱心網友回復:
沒搞過HOOK了IofCompleteRequest函式,來學習一下uj5u.com熱心網友回復:
那么對ReadFile可以讀取到內容會是AK922驅動HOOK了IofCompleteRequest的原因嘛
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/77043.html
標籤:安全技術/病毒
上一篇:筆記本聲音出現紅叉,求助大佬
下一篇:Windows未知錯誤