摘要:
在笔者上一篇文章`《驱动开发:内核特征码搜索函数封装》`中为了定位特征的方便我们封装实现了一个可以传入数组实现的`SearchSpecialCode`定位函数,该定位函数其实还不能算的上简单,本章`LyShark`将对特征码定位进行简化,让定位变得更简单,并运用定位代码实现扫描内核PE的`.text`代码段,并从代码段中得到某个特征所在内存位置。 阅读全文
posted @ 2022-10-18 16:59
lyshark
阅读(1300)
评论(0)
推荐(1)
摘要:
Minifilter 是一种文件过滤驱动,该驱动简称为微过滤驱动,相对于传统的`sfilter`文件过滤驱动来说,微过滤驱动编写时更简单,其不需要考虑底层RIP如何派发且无需要考虑兼容性问题,微过滤驱动使用过滤管理器`FilterManager`提供接口,由于提供了管理结构以及一系列管理API函数,所以枚举过滤驱动将变得十分容易。 阅读全文
posted @ 2022-10-18 08:22
lyshark
阅读(1866)
评论(0)
推荐(0)
浙公网安备 33010602011771号