-
-
奇怪的驱动设备名字
-
发表于: 2010-7-28 17:59
-
最近研究一个程序,其在3环的EXE会打开一个设备 ,我HOOK了ZWCREATEFILE ,看到objattr里面的objname是,
{146F1A80-4791-11D0-A5D6-28DB04C10000}\暠?拎???? 后面是乱码 我用outputdebugstring打印出来的,应该是没打印完全,很显然这个符号连接比较奇怪,他并不是完全可读的字符,其中打开这个设备的时候,ROOTDIR也非NULL,但是现在也可以不管,我对内核驱动编程不太懂,感觉这个符号链接名字不是我们平时使用的IoCreateSymbolicLink创建的,真不太清楚是什么回事,我的直觉告诉我 ,跟PNP 有关系,请哪位讲一讲
{146F1A80-4791-11D0-A5D6-28DB04C10000}\暠?拎???? 后面是乱码 我用outputdebugstring打印出来的,应该是没打印完全,很显然这个符号连接比较奇怪,他并不是完全可读的字符,其中打开这个设备的时候,ROOTDIR也非NULL,但是现在也可以不管,我对内核驱动编程不太懂,感觉这个符号链接名字不是我们平时使用的IoCreateSymbolicLink创建的,真不太清楚是什么回事,我的直觉告诉我 ,跟PNP 有关系,请哪位讲一讲
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
