内核阻塞与用户态交互问题,求助
最近做毕设,要完成个功能。就是r3进程recv或者send后,r0要阻塞,等待r3选择允许还是拒绝后,r0再继续操作。
类似于一个进程创建,你是允许还是拒绝,360那种。
主要是在多进程环境下。。没什么好办法。。用waitforsingleobject的话。
如果只有一个event的话,多进程就乱 了,又不想多个Event。 你是不是要做HIPS啊。。。发给你一个XACKER做的例子。。。
话说这代码里有暗桩,直接COPY会蓝。。。 FltSendMessage
FilterGetMessage
FilterReplyMessage
这个是MS包装过的
或者,直接使用ZwXXXXXXPort那套东西。。。。不过这个没文档。。。。ZwXXXXXPort貌似就是之前一个叫滕XXX的问过,他非得认为这些函数是与网络通信相关的。。。。实际上这套接口有个统一的名字。。。LPC,Local Process Communication 364589886 发表于 2012-4-2 19:21 static/image/common/back.gif
FltSendMessage
FilterGetMessage
FilterReplyMessage
腾袭认为NtDeviceIoControl跟网络访问有关,你不赞同。
不过我看了『36蛋』那个最NB工程师在KX的一篇文章,证明了网络访问确实是跟NtDeviceIoControl有关系。 你搞反了吧…当时是我在解释时说的…deviceioctl才是网络通讯的…而且…这个没啥好证明的…网络通讯确实就是devicectl
只是那人当时不是说的zw系列…他说的NtXXXPort那套函数… 而且这套port,确实很好用…ms自己的服务管理器,就是通过这套接口管理服务的…比如你要做服务保护,也就是禁止某某服务被停止…方式之一就是挂钩这套函数,然后对名为ntsvc的port的消息进行分析就好了 364589886 发表于 2012-4-3 16:35 static/image/common/back.gif
而且这套port,确实很好用…ms自己的服务管理器,就是通过这套接口管理服务的…比如你要做服务保护,也就是 ...
话说,我分析不出来NtRequestWaitReplyPort里名为ntsvc的port消息,你能具体说说吗? sb666 发表于 2012-4-3 19:08 static/image/common/back.gif
lpc貌似还是最终用到共享内存吧?效率不一定比其他高。而且要声明一堆乱七八糟的东西
难道大家专门喜欢用 ...
呵。。。。你最好先搞清楚LPC机制。。。。你从哪里知道它用的共享内存的?猜得?你又怎么确定共享内存就效率底?你试验过? 本帖最后由 364589886 于 2012-4-3 19:37 编辑
Tesla.Angela 发表于 2012-4-3 16:39 static/image/common/back.gif
话说,我分析不出来NtRequestWaitReplyPort里名为ntsvc的port消息,你能具体说说吗? ...
http://www.debugman.com/thread/5279/1/1
呵。。。。本来我这里有整个的服务保护的代码。。。。而且是国内“某知名安全软件”正在使用的代码。。。。但是出于职业道德和安全考虑,不能放出来。。。。但是原理也就是我说的这个。。大家多windbg一下。。。基本也就明白了。。。。。有没有代码无所谓了。
主要是学习思路,明白了原理,有了思路。。。代码就无所谓了。。。而且这些也不是什么新的高深技术,别人都用烂了的东西
Tesla.Angela 发表于 2012-3-29 21:34 static/image/common/back.gif
你是不是要做HIPS啊。。。发给你一个XACKER做的例子。。。
话说这代码里有暗桩,直接COPY会蓝。。。 ...
谢谢源码~ 谢谢TA的源码,还有364589886给的那些函数。第一次见过。
还有。。你们是不是扯的有点远?
页:
[1]