1

我的简短问题是,如果我知道一个驱动程序被 IRP 挂钩(例如在 IRP_MJ_READ),我怎样才能将此条目恢复为原始条目?如我所见,Xuetr/Pc Hunter 可以告诉我某些驱动程序的主要功能列表(例如 acpi、键盘、atapi 等)的“原始条目”,因此必须有一种方法 - 可能不是针对操作系统中的每个设备,而是对于一些特定的驱动程序。

(所以:列出当前条目并找出哪个条目被钩住不是问题,我只有在“_DRIVER_OBJECT-MajorFunctions”中找出原始条目时遇到问题)

4

0 回答 0