在转发IRP到下层磁盘驱动程序之前,SPM先设置IRP的完成例程(IoSetCompletionRoutine)。在IRP完成后,NT系统将调用这个例程。
基于4个网页-相关网页
异步完成例程 asynchronous completion routine
Through making some changes in driver stack location’s structure and CompletionRoutine, besides modifying the I/O Requst Packet(IRP) delivery method, two methods to hide files are implemented.
通过修改驱动堆栈单元的结构和完成例程,配合修改I/O请求包的传递方法,实现2种驱动级文件隐藏的方法。
参考来源 - 基于驱动堆栈单元的文件隐藏方法·2,447,543篇论文数据,部分数据来源于NoteExpress
应用推荐