ud内img以及u+v2各种隐藏挂载驱动【跪求测试】

2011npwjm

下载看看，谢谢分享

sp_star

sunsea 发表于 2014-10-19 06:57
就是因为这个bug

可以下载那个native的源代码，里面有很多文件操作。如果是UD的问题导致路径不对，这就没办法了。
另外，用WinDDK编译过了，但是文件尺寸小了一些，编译出的驱动也不能启动。不知道是为什么。

sunsea

sp_star 发表于 2014-10-19 09:49
可以下载那个native的源代码，里面有很多文件操作。如果是UD的问题导致路径不对，这就没办法了。
另外， ...

源码在哪？我没找到。还有我是用vs2010的编译系统和ifsddk3790的xp库编译的

sp_star

sunsea 发表于 2014-10-19 09:59
源码在哪？我没找到。还有我是用vs2010的编译系统和ifsddk3790的xp库编译的

原帖应该还能下载吧？
http://bbs.wuyou.net/forum.php?m ... mp;highlight=native
楼主研究native启动，怎么可以没有native.exe的源代码呢？呵呵。

devilma

如果bug解决那就太棒了。。。。

sunsea

sp_star 发表于 2014-10-19 10:16
原帖应该还能下载吧？
http://bbs.wuyou.net/forum.php?mod=viewthread&tid=188616&highlight=native
...

不是研究native啦。。。就是加上这个应该能保证native下能找到u+隐藏下的和ud的img中的二级内核

sunsea

sp_star 发表于 2014-10-19 09:49
可以下载那个native的源代码，里面有很多文件操作。如果是UD的问题导致路径不对，这就没办法了。
另外， ...

终于解决这个该死的BUg了

忘记设置Length了

sp_star

sunsea 发表于 2014-10-19 15:57
终于解决这个该死的BUg了

忘记设置Length了

有更新吗？

peterpanheaven

WoW ...
Focus focus focus here !!!
Maybe LZ achieve a great job ^^

sunsea

sp_star 发表于 2014-10-19 17:07
有更新吗？

1楼更新了

sp_star

sunsea 发表于 2014-10-19 17:28
1楼更新了

还是之前的win8pe，只是更新了heddrive.sys文件，启动时崩溃了。
同一个pe在虚拟机里启动(没有UD区)，可以启动。

2013gdh

UTF-8 1字节的字符: 高8bits补0, 直接就是对应的unicode (ucs2)字符
UTF-8 3字节的字符, 比如汉字: 假设从低位内存到高位内存依次是c[0]=1110XXXX, c[1]=10XXXXXX, c[2]=10XXXXXX,
那对应的unicode字符是( ((short) (c[0]&0xF)) << 12 ) | ( ((short) (c[1]&0x3F)) << 6 ) | ((short) (c[2]&0x3F))

百度百科说的就够用了

sunsea

sp_star 发表于 2014-10-19 18:04
还是之前的win8pe，只是更新了heddrive.sys文件，启动时崩溃了。
同一个pe在虚拟机里启动(没有UD区)，可 ...

蓝屏代码？

sp_star

sunsea 发表于 2014-10-19 18:19
蓝屏代码？

win8pe, 木有代码...

sunsea

sp_star 发表于 2014-10-19 18:34
win8pe, 木有代码...

我是用xp的库编译的，就先用XPE测试吧

sp_star

sunsea 发表于 2014-10-19 19:01
我是用xp的库编译的，就先用XPE测试吧

没有XPE。。。。等最终版本了。

sunsea

sp_star 发表于 2014-10-19 19:17
没有XPE。。。。等最终版本了。

借我一个NativeXP内核

sp_star

sunsea 发表于 2014-10-19 19:42
借我一个NativeXP内核

我也没有。。。但原帖有一个例子，还有这个帖子：
http://bbs.wuyou.net/forum.php?m ... mp;highlight=native

只是都在115网盘，但好像文件还在。

sp_star

sunsea 发表于 2014-10-19 19:42
借我一个NativeXP内核

还有这个：http://bbs.wuyou.net/forum.php?m ... p;extra=#pid2813191

sunsea

sp_star 发表于 2014-10-19 18:34
win8pe, 木有代码...

又遇上神奇的Bug了，enum.cpp里面UD_FindFile里的第一个ZwReadFile，传入数据都正确，然后就是返回STATUS_INVALID_PARAMETER了

sp_star

sunsea 发表于 2014-10-19 20:46
又遇上神奇的Bug了，enum.cpp里面UD_FindFile里的第一个ZwReadFile，传入数据都正确，然后就是返回STATUS ...

呵呵，native API就是麻烦啊。
把UDDisk这个参数指定为一个普通的文件，看能成功吗？

sp_star

sunsea 发表于 2014-10-19 20:46
又遇上神奇的Bug了，enum.cpp里面UD_FindFile里的第一个ZwReadFile，传入数据都正确，然后就是返回STATUS ...

还有把sizeof(...)换成16试试。

zwant

这里顿时金碧辉煌 ，蓬荜生辉

泰立信

看到老大辛苦，无法帮手啊。只有祝早日解决完bug，顺利完成该驱动！

sp_star

sunsea 发表于 2014-10-19 20:46
又遇上神奇的Bug了，enum.cpp里面UD_FindFile里的第一个ZwReadFile，传入数据都正确，然后就是返回STATUS ...

这个问题可能是文件打开方式不对，改成以下代码试试。

1.                 status=ZwOpenFile(&Pdisk->handle,
   
2.                     GENERIC_READ|GENERIC_WRITE,
   
3.                     &ObjAttb,&io_status,NULL,
   
4.                     FILE_NON_DIRECTORY_FILE);
   
5.                     //FILE_SHARE_READ|FILE_SHARE_WRITE,FILE_NON_DIRECTORY_FILE|FILE_SYNCHRONOUS_IO_NONALERT);

复制代码

zds1210

会做驱动，不错。
有没有兴趣，研究出一种新的隐藏方式。

sunsea

sp_star 发表于 2014-10-21 08:47
这个问题可能是文件打开方式不对，改成以下代码试试。

FILE_SYNCHRONOUS_IO_NONALERT必须加，否则会返回STATUS_PENDING  

sunsea

sp_star 发表于 2014-10-21 08:47
这个问题可能是文件打开方式不对，改成以下代码试试。

还这样的话考虑自己组IRP

sunsea

sp_star 发表于 2014-10-21 08:47
这个问题可能是文件打开方式不对，改成以下代码试试。

有说法说PhysicalDrive只能访问前64扇区

sp_star

sunsea 发表于 2014-10-21 19:09
有说法说PhysicalDrive只能访问前64扇区

呵呵，这个就不懂了，我也是搜索来的。