2. 질의 응답
  3. 의미 IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONISATION

의미 IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONISATION

2017-12-01 14 views
0

저는 현재 처음부터 miniFilter 드라이버를 개발하고 있습니다.의미 IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONISATION

는 지금 난 그냥이 모든 IRP 이벤트 등 ... miniSpy 필터 드라이버와 몇 가지 테스트 후

, 나는 그 3 주요 작업을 볼 수있는에 이르게하는 행위, 작동 방식을 이해하기 위해 노력하고있어 무슨 일이 일어나는지 알 수 없습니다.

IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION  
IRP_MJ_QUERY_INFORMATION   
IRP_MJ_RELEASE_FOR_SECTION_SYNCHRONIZATION

나는 보통이 링크를 사용하고 있습니다 : https://msdn.microsoft.com/en-us/library/windows/hardware/ff548630(v=vs.85).aspx

을하지만 ACQUIRE/RELEASE_FOR_SECTION_SYNCHRONIZATION를 찾을 수 없습니다.

누군가 내게 그 의미를 설명 할 수 있습니까?

출처

2017-12-01 Krag

+0

당신은 당신보다 더 많은 것을 볼 수 있습니다.이 알림은 맬웨어 방지 프로그램을 작성하는 사람들에게 유용하다고 생각합니다. 전신 인 AcquireFileForNtCreateSection을 검색하면 더 좋은 결과를 얻을 수 있습니다. –

답변

0

먼저 this을 확인하고 싶을 수 있습니다.

  1. 당신은 CreateaFileMapping에 대한 콜백으로 IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION 생각할 수 있습니다. 그것은 본질적으로 문제의 FILE_OBJECT가 섹션 객체를 만들려고한다는 것을 알려줍니다.
  2. ZwQueryInformationFile에 대한 파일 시스템 콜백. 다양한 정보 클래스에 대한 자세한 내용과 각 클래스의 각 버퍼 뒤에있는 구조를 확인하십시오.
  3. IRP_MJ_RELEASE_FOR_SECTION_SYNCHRONIZATION에는 매개 변수가 없습니다. CloseHandle (SectionHandle)에 해당하는 것으로 간주하십시오. this을 확인하십시오.

희망을 버립니다.

행운을 빈다.

출처

2018-01-26 20:29:26

 관련 문제

  • 관련 문제 없음^_^