引用第17楼sudami于2009-04-14 20:43发表的 :[+] diyhack同学为什么要用MJ同学的方法 - 由于"\WINDOWS\system32\config\system"文件的CCB偏移+0x004处FLAG(00012003)的第5位存在,区别于其他文件基于这点来判断. 但是要考虑到兼容性,何必这样做呢?直接判断FILE_OBJECT中的name不就成了吗?.......
引用第20楼gz1x于2009-04-14 21:02发表的 :所谓0x10000标志,system hive之所以是system hive也....
引用第21楼sudami于2009-04-14 21:05发表的 :貌似这部分都是没符号的吧, 自己挖掘太辛苦了...FCB / LCB / CCB ...
引用第22楼gz1x于2009-04-14 21:06发表的 :其实说起来,走CmRegisterCallbackEx也可以实现类似的注册表的;利用IO_REPARSE走FileSystem filter也能实现文件的。只是所谓的正规不正规,底层不底层的问题。
引用第24楼gz1x于2009-04-14 21:09发表的 :我是指win7所有文件都没有srv的symbol,估计现在是测试阶段,M$不太想把符号放在服务器上。