其实为啥不hook iopFileParse呢?因为File一旦有XX Mask后基本打开文件都不走那里了~~但是还是会走iopDeviceParse~~ 说的是一个奇特的东西~~其实也是一个object,open+0x14的地方的object如果obXXX里得到那个object不为空且ACCESS MASK不XXX,就不走iopFileParse就是说不用XX分析了,直接走另外的路线了~~哈哈~~不过最后经过iopDeviceParse~
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
