对不明确的问题感到抱歉!
命令提示符命令'dir'列出目录中的所有文件和目录,如您所知。
我正在阅读“颠覆Windows内核:Rootkit”。
本书中的一个代码示例隐藏了TCP连接。它使用挂钩。它使用的方法的一部分获得指向 TCPIP.sys 的指针,'netstat'用于查询当前TCP连接的驱动程序,使用与之关联的设备对象
基本上有一个函数IoGetDeviceObjectPointer(),它接受设备名称(对于TCPIP.sys,设备为\\DEVICE\\TCP)并返回指向设备驱动程序的指针,在该示例中为TCPIP.sys
我想知道是否有人知道“dir”命令是否使用设备驱动程序,如果是,那么该设备的名称是什么?
答案 0 :(得分:3)
不,dir命令不使用设备驱动程序。 Dir commad依赖于FindFirstFile / FindNextFile API函数,它们在内部调用Ntdll.dll内核函数。如果我记得正确挂钩Nt / ZwQueryInformationFile隐藏文件。