[求助]为什么驱动文件加载后可以从硬盘里删除？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
aqtata 雪币： 319 活跃值： (1531) 能力值： ( LV7，RANK：100 ) 在线值：发帖 76 回帖 358 粉丝 2 关注私信	aqtata 2 2 楼沉的好快~~~~ 2010-8-28 22:54 0
morning 雪币： 367 活跃值： (35) 能力值： ( LV5，RANK：70 ) 在线值：发帖 35 回帖 494 粉丝 3 关注私信	morning 1 3 楼因为系统把它加载到内存了,不再读取文件. 这和ring3 PE文件映射不同. 2010-8-29 09:04 0
dayang 雪币： 220 活跃值： (886) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 942 粉丝 1 关注私信	dayang 4 楼 ring3要是也能这么做就好了！我一直想知道RING3中怎么实现呀! 2010-8-29 11:15 0
evilcode 雪币： 254 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 398 粉丝 0 关注私信	evilcode 5 楼不知道驱动超大的话，会不会也拉进去。。。谁搞一个巨型驱动然后加载后看删除不删除 2010-8-29 11:36 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 6 楼 ring3加载PE文件时，并不全部读入内存，而是直接将该文件作为pagefile映射到内存中即可。 2010-8-29 15:26 0
aqtata 雪币： 319 活跃值： (1531) 能力值： ( LV7，RANK：100 ) 在线值：发帖 76 回帖 358 粉丝 2 关注私信	aqtata 2 7 楼谢谢3楼的朋友解答 2010-8-29 18:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
aqtata 雪币： 319 活跃值： (1531) 能力值： ( LV7，RANK：100 ) 在线值：发帖 76 回帖 358 粉丝 2 关注私信	aqtata 2 2 楼沉的好快~~~~ 2010-8-28 22:54 0
morning 雪币： 367 活跃值： (35) 能力值： ( LV5，RANK：70 ) 在线值：发帖 35 回帖 494 粉丝 3 关注私信	morning 1 3 楼因为系统把它加载到内存了,不再读取文件. 这和ring3 PE文件映射不同. 2010-8-29 09:04 0
dayang 雪币： 220 活跃值： (886) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 942 粉丝 1 关注私信	dayang 4 楼 ring3要是也能这么做就好了！我一直想知道RING3中怎么实现呀! 2010-8-29 11:15 0
evilcode 雪币： 254 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 398 粉丝 0 关注私信	evilcode 5 楼不知道驱动超大的话，会不会也拉进去。。。谁搞一个巨型驱动然后加载后看删除不删除 2010-8-29 11:36 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 6 楼 ring3加载PE文件时，并不全部读入内存，而是直接将该文件作为pagefile映射到内存中即可。 2010-8-29 15:26 0
aqtata 雪币： 319 活跃值： (1531) 能力值： ( LV7，RANK：100 ) 在线值：发帖 76 回帖 358 粉丝 2 关注私信	aqtata 2 7 楼谢谢3楼的朋友解答 2010-8-29 18:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复