炫酷开机效果

wowowo

只支持xp?

驭龙

大牛，我问个问题，fltread（write）File与Zwread（write）File之间的差别是什么？为何大多数的厂商都是内核模式的Zw读写文件函数，而不是FLT读写文件的函数？

另外使用用户模式读写IO缓存的ProbeFor读写函数，是不是有一点弱（我发现国外有一个就是ProbeFor读写搭配FLT创建文件函数的家伙，这是为了提升性能么？）

我是业余爱好者，所以想学习学习一下这方面的东西

希尔27

沧桑浪子 发表于 2014-4-5 15:57
楼主MJ大大？我是刚才微博的那位，大巴车的喇叭声真大

哈哈。。。
马甲号太多，大家识别不过来

myzuzong

驭龙 发表于 2014-4-5 19:31
大牛，我问个问题，fltread（write）File与Zwread（write）File之间的差别是什么？为何大多数的厂商都是内 ...

建议阅读MSDN。

Flt*是minifilter driver专用的，Zw*是驱动通用的。

“使用用户模式读写IO缓存的ProbeFor读写函数，是不是有一点弱”这个问题真是让人摸不着头脑。ProbeForRead函数是用来校验用户态内存的，检查整个buffer是否真正位于用户模式地址空间，检查内存是否按指定的字节数对齐。ProbeForWrite除此之外还检查buffer是否可写。如果检查失败，就会抛出异常，被try/except块捕获。这两个函数是内核驱动中非常重要的用于进行用户态内存校验的函数，而不是“使用用户模式读写IO缓存的ProbeFor读写函数”。

驭龙

myzuzong 发表于 2014-4-6 00:55
建议阅读MSDN。

Flt*是minifilter driver专用的，Zw*是驱动通用的。

Flt*是minifilter driver专用的，Zw*是驱动通用的

这个我是知道的，我只是不明白，现在都是微筛选驱动为监控手段，为何使用Zw*读写文件的安软多，使用FLT读写文件的安软少？

我之所以说ProbeFor函数会不会弱，是因为我发现有一个国外安软没有FLT读写文件函数也没有Zw读写文件函数，只有ProbeFor读写函数，所以会这样问。那这个安软怎么监控读写？是使用微筛选的FLT创建文件和开始筛选这样的FLT函数监控？

大牛，你说ProbeFor很重要的检测用户模式的函数，那这个函数似乎不是很多见，那是不是有ProbeFor函数的安软也不错？

我其实什么都不懂，所以来问问各位大牛。勿见笑

myzuzong

驭龙 发表于 2014-4-6 08:09
这个我是知道的，我只是不明白，现在都是微筛选驱动为监控手段，为何使用Zw*读写文件的安软多，使用F ...

楼主才是大牛，我可不是，不过楼主是潜水党，我只能趁楼主不在乱说一通。

FltReadFile用得少吗？这个我不知，我目前用的安软都用Flt*。那个安软怎么监控读写，建议阅读MSDN了解一下FS Minifilter Driver的原理 http://msdn.microsoft.com/en-us/library/windows/hardware/ff540402(v=vs.85).aspx

ProbeForRead/ProbeForWrite不是很多见？这怎么可能

驭龙

myzuzong 发表于 2014-4-6 10:19
楼主才是大牛，我可不是，不过楼主是潜水党，我只能趁楼主不在乱说一通。

FltReadFile用得少吗？这个 ...

我查过很多安软的驱动，拥有FLTReadFile和WriteFile真的不多见，我现在知道三款安软，是这个函数。

其他的安软大多数是ZwReadFile和WriteFile函数。

可能是我没有注意，ProbeFor这个函数吧，我是见的不多。

你的那个地址我是有的，只是最近工作忙，最近没时间看。

我是菜鸟一个，所以想跟各位大牛多学习学习，哈

skylinext

@笙儿 这位是360的大牛，文件应该是360卫士正在测试的开机动画，如果安全性没问题，还是不要屏蔽的好哇
对于之前的质疑和举报，如果有不对之处请谅解

vdmcontrol

奇迹虎_QIHOO 发表于 2014-4-6 16:57
@笙儿 这位是360的大牛，文件应该是360卫士正在测试的开机动画，如果安全性没问题，还是不要屏蔽的好哇[:15 ...

这版主太囧了。。好歹也自己下下来看看包里是啥啊

笙儿

奇迹虎_QIHOO 发表于 2014-4-6 16:57
@笙儿 这位是360的大牛，文件应该是360卫士正在测试的开机动画，如果安全性没问题，还是不要屏蔽的好哇[:15 ...

OK？确认？我断了几天网，结果……害人不浅呐……杯具……好吧，我这就接触屏蔽。