LaZySandBox Ver0.5(beta)

    昨天趕了個介面出來,比較水,將就一下,總結大會過了之後準備果斷重構一遍.

 

    一個Ring0下的exe,跟驅動通訊的,簡單通訊(DeviceIoControl)和一個檔案系統過濾驅動,基本完成的功能是對指定進程的檔案操作進行重新導向.錄了兩個測試視頻,不過優酷可能看不太清,有興趣的同學請猛擊(不過這個是無解說的...)

 

    正常程式測試:http://v.youku.com/v_show/id_XMjY3Nzg0Nzcy.html

    感染病毒測試:http://v.youku.com/v_show/id_XMjY3Nzg1OTcy.html

 

    碰到的難題主要是驅動重入問題,解決的方法是:1,特殊路徑檢測;2,直接向底層裝置發IRP包;3,建立影裝置.我是用了前面兩個.另一個讓我煩躁的是檔案標誌太多,具體可以參考之前搞的這篇http://blog.csdn.net/GaA_Ra/archive/2011/03/30/6288802.aspx,這個無解,果斷人肉分類,最後一個小小煩躁的問題是驅動裡面實現CopyFile,自己用ZwReadFile和ZwWriteFile寫,當然還不夠底,再底可以發IRP包操作.

   

   瞄的昨天用Windbg調發現KdPrint對%S的中文支援不好..,哥以為中文路徑被截斷了..調了好一會..

 

   最末推薦文章一篇,好文章啊有木有,來自JJ同學的QQ空間...http://user.qzone.qq.com/298958325/blog/1305544731