1 驱动与内核代码
驱动程序常驻内存,并且负责响应用户态应用程序请求,因此分析它十分困难。另外,由于应用程序不直接与驱动程序通信,而是直接访问设备对象,向具体的物理设备发送请求,使得驱动程序更加难以分析。
设备对象由驱动程序创建和销毁,可以被用户态的程序直接访问,但它们并不一定是真实的物理状态。
举例来说,USB闪存驱动器在系统中拥有一个处理USB闪存驱动器请求的驱动,
驱动程序常驻内存,并且负责响应用户态应用程序请求,因此分析它十分困难。另外,由于应用程序不直接与驱动程序通信,而是直接访问设备对象,向具体的物理设备发送请求,使得驱动程序更加难以分析。
设备对象由驱动程序创建和销毁,可以被用户态的程序直接访问,但它们并不一定是真实的物理状态。
举例来说,USB闪存驱动器在系统中拥有一个处理USB闪存驱动器请求的驱动,