+ Reply to Thread
Results 1 to 3 of 3

Thread: MiniFilter

  1. 19-11-2015 08:23 #1
    500mhz
    500mhz's Avatar

    Eureka MiniFilter

    Собственно интересно какие существуют способы получения адреса в юсерспейсе с которого было обращение к файловой системе?
    На пример. Ловлю IRP_MJ_WRITE (драйвер мини фильтр ). Соответственно я могу получить PID TID ImageName итд. Необходимо получить адрес откуда был вызов или адрес возврата.
    Некоторые способы получения я знаю, но может кто то еще что посоветует?

    п.с.
    MSR hook не предлагать, и грязные хаки тоже )
    Reply With Quote Reply With Quote   Blog this Post   Thanks  
  2. Пользователь сказал cпасибо:
  3. 19-11-2015 12:26 #2
    DarthTon0

    Default Re: MiniFilter

    Можно попробовать пройтись по стеку от PFLT_CALLBACK_DATA->Thread->TrapFrame->Rsp.
    Reply With Quote Reply With Quote   Blog this Post   Thanks  
  4. Пользователь сказал cпасибо:
  5. 25-11-2015 18:56 #3
    Pashkin

    Default Re: MiniFilter

    Тред будет в ядре, поэтому по стеку можно лишь дойти до сохраненного контекста юзермодного треда и вот из него уже можно будет получить искомый колстек.
    Reply With Quote Reply With Quote   Blog this Post   Thanks  
  6. Пользователь сказал cпасибо:
+ Reply to Thread
« Previous Thread | Next Thread »

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts

Forum Rules

All times are GMT. The time now is 01:24
vBulletin® Copyright ©2000 - 2018
www.reverse4you.org