我正在尝试使用Windows中的文件过滤器驱动程序来实施恶意软件分析。 我需要打开系统中的所有文件以检查恶意软件的十六进制值。但我无法打开系统中的所有文件。我应该怎么做才能打开文件。
答案 0 :(得分:1)
在转向内核模式软件开发之前,您需要了解一下Native API。我建议你退一步,然后使用Win32 API回到用户模式,因为很明显你不知道自己在做什么,而你所要做的就是开发一些会伤害你自己或别人环境的东西。
您需要枚举目录中的文件并使其递归,但这可以通过ZwQueryDirectoryFile实现。枚举是一个开始。
向下移动到用户模式,因为内核模式不适合搞乱。在尝试制作恶意软件分析系统之前,您至少应该了解基础知识。