对不起,不清楚的问题!
您可能知道,命令提示符命令“dir”列出了目录中的所有文件和目录。
我现在正在阅读“颠覆 Windows 内核:Rootkits”。
书中的一个代码示例隐藏了 TCP 连接。它使用挂钩。它使用的部分方法通过使用与其关联的设备对象获取指向TCPIP.sys的指针, “netstat”用于查询当前 TCP 连接的驱动程序。
基本上有一个函数 ,IoGetDeviceObjectPointer()它接受一个设备名称(对于 TCPIP.sys,该设备是\\DEVICE\\TCP)并返回一个指向设备驱动程序的指针,在该示例中为 TCPIP.sys。
我想知道是否有人知道“ dir”命令是否使用设备驱动程序,如果是,设备名称是什么?