收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 COMODO 请问\Device\Harddisk?\*这个代表什么
123下一页
返回列表 发新帖
楼主: accordion
 收起左侧

[求助] 请问\Device\Harddisk?\*这个代表什么

  [复制链接]
accordion
 楼主| 发表于 2010-5-1 21:00:55 | 显示全部楼层
回复 10# 柯林


    哦哦,那能为我们解答为什么添加\Device\Harddisk?\*不会全盘拦截?
回复

举报

柯林
发表于 2010-5-1 21:23:21 | 显示全部楼层
回复 11# accordion
以上帖子不是已经写明,硬盘的逻辑磁盘的路径跟U盘不一样,拦截\Device\Harddisk?\*至多把硬盘主引导区\Device\Harddisk0\DR0和\Device\Harddisk1\DR1一块拦截了,不会影响硬盘的逻辑磁盘路径,连硬件设备驱动\Device\Harddisk都没影响。
以上仅限于xp,而且是comodo的方式,对其他HIPS不一定适用。
回复

举报

hekygogo
头像被屏蔽
发表于 2010-5-1 21:35:23 | 显示全部楼层
确实,EQ,comodo都有一些特殊的适合自己的写法,而这些写法在个hips中不是通用的,也不一定被Windows认可~~具体可以加到组策略里试试

如此,这个问题就不用讨论了~
回复

举报

zlj_lf
发表于 2010-6-28 14:11:56 | 显示全部楼层
回复 5楼 hekygogo  的帖子
你这张图如何查看啊。。。

   
回复

举报

穿越星空
发表于 2010-6-28 16:48:23 | 显示全部楼层
本帖最后由 穿越星空 于 2010.6.28 16:52 编辑

回复 3楼 单身熟男  的帖子
  是对象吧?指的是硬盘对象。

评分

参与人数 1人气 +1 收起 理由
单身熟男 + 1 不懂。。感谢指教

查看全部评分

回复

举报

穿越星空
发表于 2010-6-28 16:56:20 | 显示全部楼层
回复 11楼 accordion  的帖子12楼 柯林  的帖子
  这有两个可能,一是内部放行,这个无需多说;二是路径写法上的问题,有人测试“?”存在问题,一般写“*”不会有错。
回复

举报

dl123100
发表于 2010-6-28 17:24:21 | 显示全部楼层
\Device\HarddiskX\DRX是disk.sys创建的设备,是磁盘级的。一般所谓Ring3直接操作磁盘(killdisk之流)是直接打开\\.\PhysicalDriveX。
\Device\HarddiskVolumeX是volmgr.sys创建的设备,管理的是卷(volume)。

lkd> !devobj \Device\Harddisk0\DR0
Device object (88e7b2c0) is for:
DR0 \Driver\Disk DriverObject 88e7ac48
lkd> !devstack 88e7b2c0
  !DevObj   !DrvObj            !DevExt   ObjectName
  88e7c020  \Driver\partmgr    88e7c0d8  
> 88e7b2c0  \Driver\Disk       88e7b378  DR0
  88e7ba50  \Driver\hpdskflt   88e7bb08  
  873888c8  \Driver\ACPI       86f79460  
  8736d028  \Driver\iaStor     8736d0e0  IAAStorageDevice-1

lkd> !devobj \Device\HarddiskVolume1
Device object (88e7c828) is for:
HarddiskVolume1 \Driver\volmgr DriverObject 8737c940
lkd> !devstack 88e7c828
  !DevObj   !DrvObj            !DevExt   ObjectName
  88e82020  \Driver\volsnap    88e820d8  
  88e7edb8  \Driver\rdyboost   88e7ee70  
  88e7f438  \Driver\fvevol     88e7f4f0  
> 88e7c828  \Driver\volmgr     88e7c8e0  HarddiskVolume1
lkd> !vpb 86f7dc38
Vpb at 0x86f7dc38
Flags: 0x1 mounted
DeviceObject: 0x88ead020
RealDevice:   0x88e7c828
RefCount: 10959
Volume Label:
lkd> !devobj 0x88ead020
Device object (88ead020) is for:
  \FileSystem\Ntfs DriverObject 86f7d2f8

评分

参与人数 1经验 +12 人气 +1 收起 理由
穿越星空 + 12 + 1 感谢专业性解答

查看全部评分

回复

举报

hekygogo
头像被屏蔽
发表于 2010-6-28 18:05:52 | 显示全部楼层
回复 15楼 穿越星空  的帖子

回14L:用的是Winobj,这类工具比较多~

我勒个去,你们这群人挖坟呐!


   
回复

举报

hekygogo
头像被屏蔽
发表于 2010-6-28 18:30:07 | 显示全部楼层
回复 17楼 dl123100  的帖子


    多谢,记得启动安全模式时,disk.sys和volmgr.sys是作为最基础的驱动加载的,除此以外毫无印象~
     双系统启动引导设置时使用的是Harddisk,而不是HarddiskVolume~
    貌似就知道这些~很明显Harddisk比HarddiskVolume更基础~HarddiskVolume是系统对Harddisk进一步扩展~ 晕,看那一堆完全晕
     
回复

举报

穿越星空
发表于 2010-6-28 18:55:22 | 显示全部楼层
回复 18楼 hekygogo  的帖子
  我觉得WinObj所获得的信息甚少多学学楼上的dl大侠吧,能看懂你也成侠了。
  难得逮到个机会,不水一下怎么对得起楼主
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 20:51 , Processed in 0.102889 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表