tangptr@126.com
发表于 2016-10-28 10:39:50
TP的学习笔记:无文件句柄发送IRP删除文件
TA的一个开源驱动级文件管理器里([开源]驱动级文件管理器)删除文件就用了发送IRP的形式删除文件,但却使用了IoCreateFile打开文件取得句柄再用ObReferenceObjectByHandle取得FileObject指针。这种方式不够强制,我的建议是,打开文件也用发送IRP的形式。
**** Hidden Message *****
284406022
发表于 2016-10-29 20:36:47
为文件管理器而来
Tesla.Angela
发表于 2016-10-29 22:41:05
LZ你为什么这么屌?
我没有采取直接发送IRP打开文件是因为从WRK里抄的代码在某些环境下不稳定(不是那个广为人知的“WIN7结构体错误”而引发的问题)。
kz丶cn
发表于 2016-10-30 15:47:14
我忘记我在哪看到过Hook ObReferenceObjectByHandle保护进程的...
sunsan
发表于 2016-11-2 00:10:58
看看代码先
yimingqpa
发表于 2016-11-2 10:04:25
666666666
376963444
发表于 2016-12-4 01:40:42
瞅瞅~
flac
发表于 2016-12-5 21:30:20
后排学习
jinfu
发表于 2017-1-9 10:15:09
支持64位吗
3207145141
发表于 2017-1-9 20:43:33
学习学习.
hotwen
发表于 2017-2-7 10:47:49
无文件句柄发送IRP删除文件
46785131
发表于 2017-2-11 19:42:08
要学的知识太多了……啊噜。!~~~~~~
夜太美
发表于 2017-2-14 17:33:11
看一下这位大神的代码~
vashonxuan
发表于 2017-3-25 21:32:32
学习一下
JKiller
发表于 2017-3-26 16:11:08
学习一下
wangmin1944
发表于 2017-3-31 23:48:39
lkf
发表于 2017-4-21 15:26:47
看看,多谢!
NOW刘
发表于 2017-4-23 22:40:05
感谢楼主分享=-=
锅炉猫MC
发表于 2017-6-15 23:33:52
163xlt
发表于 2017-6-16 10:03:17
看看irp的方法打开文件
brucep555
发表于 2017-6-28 15:41:58
支持,看一下.
hamman
发表于 2017-7-2 23:01:44
来涨姿势的,谢谢楼主分享。
c3358
发表于 2017-7-21 18:50:44
稳定吗???
n36437517
发表于 2017-8-25 19:38:06
学习新的知识,谢谢分享
zt8152070
发表于 2017-8-29 08:57:36
学习下代码
zouxiaofei
发表于 2017-9-11 18:26:25
学习一下
Block
发表于 2017-9-20 11:50:43
看看学习笔记
ayamat
发表于 2017-9-26 15:40:02
研究下下
wangyang
发表于 2017-11-1 09:37:43
学习学习
as3852711
发表于 2017-11-16 08:31:33
看下效果怎么样
sqiwg
发表于 2017-11-16 19:29:49
感谢分享
chaos4
发表于 2018-1-26 02:25:57
这个必须要看看