TP的学习笔记：无文件句柄发送IRP删除文件

tangptr@126.com · 发表于 2016-10-28 10:39:50

TA的一个开源驱动级文件管理器里（[开源]驱动级文件管理器）删除文件就用了发送IRP的形式删除文件，但却使用了IoCreateFile打开文件取得句柄再用ObReferenceObjectByHandle取得FileObject指针。这种方式不够强制，我的建议是，打开文件也用发送IRP的形式。

游客，如果您要查看本帖隐藏内容请回复

284406022 · 发表于 2016-10-29 20:36:47

为文件管理器而来

Tesla.Angela · 发表于 2016-10-29 22:41:05

LZ你为什么这么屌？

我没有采取直接发送IRP打开文件是因为从WRK里抄的代码在某些环境下不稳定（不是那个广为人知的“WIN7结构体错误”而引发的问题）。

kz丶cn · 发表于 2016-10-30 15:47:14

我忘记我在哪看到过Hook ObReferenceObjectByHandle保护进程的...

sunsan · 发表于 2016-11-2 00:10:58

看看代码先

yimingqpa · 发表于 2016-11-2 10:04:25

666666666

376963444 · 发表于 2016-12-4 01:40:42

瞅瞅~

flac · 发表于 2016-12-5 21:30:20

后排学习

jinfu · 发表于 2017-1-9 10:15:09

支持64位吗

3207145141 · 发表于 2017-1-9 20:43:33

学习学习.

帐号		自动登录	找回密码
密码			加入我们