blackbean的专栏

完整介绍隐藏驱动的方法，部分内容属于冷饭热炒，炒一炒比较好消化~~先说一下，以下数据和结构信息来自Windbg+WinXP SP2一、从PsLoadedModuleList消失PsLoadedModuleList是系统中一个用于连接所有已加载驱动的双向链表(LIST_

基础篇里说的那些东西搞完以后，任何正常的位置都找不到我们的Driver了，此时相应的手段基本上只剩下暴搜PE镜像或暴搜DriverObject了。而且，基础篇讲的那些东西，因为都是M$定好的一些格式和位置，代码怎么写都差不多，固定的路子而已。而抹PE镜像或抹DriverObjec

ATAPI（磁盘端口驱动）级文件保护简单实现#define IoGetIrpStackLocation( Irp , Level) (\    (Irp)->Tail.Overlay.CurrentStackLocation + Level )BOOL IfIrpHasFobj(PIRP pIrp , LPCWSTR FileName){ULONG i , j ; PI

IRP_MJ_CREATE：消息会在新建和打开的请求中产生。            设置完成函数,等待本次新建结束以后才能够判断是新建还是打开。           //操作的请求，保存在(currentIrpStack->Parameters.Create.Options >> 24)&0xFF。            即 currentIrpStack->Parameter

看了 ChuKuangRen 的《Windows文件系统过滤驱动开发教程(第二版).pdf》后，颇有感触。我想，交流都是建立在平等的基础上，在抱怨氛围和环境不好的同时应该先想一想自己究竟付出了多少？只知索取不愿付出的人也就不用抱怨了，要怪也只能怪自己。发自己心得的人无非是两种目的，一是引发一些讨论，好纠正自己错误的认识，以便从中获取更多的知识使自己进步的更快。二是做一份备忘，当自己遗忘的时候能够马

一个 IRP 在过滤驱动中，把它分为需要安装 CompleteRoutine 的与无需安装 CompleteRoutine 的。那么在不需要安装 CompleteRoutine 的有以下几类情况。(1) 拿到这个 IRP 后什么都不做，直接调用 IoCompleteRequest() 来返回。(2) 拿到这个 IRP 后什么都不做，直接传递到底层设备，使用IoSkipCurrentIrpS