不知道为什么,我这里出了问题
其实,道理上说,的确,创建一个文件,是要有打开文件的这个过程的,
但是不知道为什么,我这里根本拦截不到打开文件的这个过程。
举个例子,
前面初始化了Minifilter,然后注册了两个回调,进程创建回调和镜像加载回调
红色部分为进程创建回调,其实进程创建回调被触发的时候,第一个镜像就已经被加载起来了,
但是我不明白,为什么,第一个镜像加载回调会在进程创建回调后面触发
子进程PID为344,进程创建回调触发之后,直接触发的镜像加载回调,Minifilter根本没有拦截到Create这个exe文件的操作
紫色框部分为镜像加载回调
绿色框部分为minifilter的Create回调,上面的一行为 Pre ,下面一行为Post,
根本就没有拦截到 exe 的操作,我不明白,为什么我这里会这样。
我的测试环境是Windows XP sp3 x86 ,内核版本 NT5.1 WDK版本2600
我很想知道,这东西到底是根本没Create,还是怎样了,但是今天先看了一下 CreateProcess 源码,大致是
BasepMapFile 这个函数把它们映射到内存的,而这个函数里面调用了2个函数 NtOpenfile 和 NtCreateSection ,第一个函数就是 Create
(我没找到 IRP_MJ_OPEN 阿 , 0x00 是 IRP_MJ_CREATE)
所以我很纳闷,不过不管怎么说,就是这么回事,minifilter抓不到
但是不知道为什么,我这里根本拦截不到打开文件的这个过程。
举个例子,
前面初始化了Minifilter,然后注册了两个回调,进程创建回调和镜像加载回调
红色部分为进程创建回调,其实进程创建回调被触发的时候,第一个镜像就已经被加载起来了,
但是我不明白,为什么,第一个镜像加载回调会在进程创建回调后面触发
子进程PID为344,进程创建回调触发之后,直接触发的镜像加载回调,Minifilter根本没有拦截到Create这个exe文件的操作
紫色框部分为镜像加载回调
绿色框部分为minifilter的Create回调,上面的一行为 Pre ,下面一行为Post,
根本就没有拦截到 exe 的操作,我不明白,为什么我这里会这样。
我的测试环境是Windows XP sp3 x86 ,内核版本 NT5.1 WDK版本2600
我很想知道,这东西到底是根本没Create,还是怎样了,但是今天先看了一下 CreateProcess 源码,大致是
BasepMapFile 这个函数把它们映射到内存的,而这个函数里面调用了2个函数 NtOpenfile 和 NtCreateSection ,第一个函数就是 Create
(我没找到 IRP_MJ_OPEN 阿 , 0x00 是 IRP_MJ_CREATE)
所以我很纳闷,不过不管怎么说,就是这么回事,minifilter抓不到
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 记一次.NET内存居高不下排查解决与启示
· 探究高空视频全景AR技术的实现原理
· 理解Rust引用及其生命周期标识(上)
· 浏览器原生「磁吸」效果!Anchor Positioning 锚点定位神器解析
· 没有源码,如何修改代码逻辑?
· 全程不用写代码,我用AI程序员写了一个飞机大战
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· 记一次.NET内存居高不下排查解决与启示
· 白话解读 Dapr 1.15:你的「微服务管家」又秀新绝活了
· DeepSeek 开源周回顾「GitHub 热点速览」