2012年7月16日
使用文件过滤驱动sfilter,IRP_MN_NOTIFY_CHANGE_DIRECTORY会卡住问题
摘要: 工程需要,用上了一个sfilter的过滤驱动。最后发现在添加搜索目录监控post过滤函数时,使用IE作为样本跑起来的时候,会卡住。windbg 后,发现挂在。kd> !process -1 7PROCESS 81c96860 SessionId: 0 Cid: 03f8 Peb: 7ffdc000 ParentCid: 068c DirBase: 07dc0300 ObjectTable: e1a24088 HandleCount: 497. Image: IEXPLORE.EXE VadRoot 8210e420 Vads 364 Clone 0 Priva... 阅读全文
posted @ 2012-07-16 10:19 kkindof 阅读(1346) 评论(0) 推荐(0) 编辑