首页
论坛
课程
招聘
某P保护下的MiniFilter通信问题
2020-4-30 17:23 2149

某P保护下的MiniFilter通信问题

2020-4-30 17:23
2149

最近学习了一下MiniFilter通信,测试效率比IO快得多,但是发现某P驱动加载后,MiniFilter通信速度直接慢了上百倍。
比如,不上游戏的时候通信10000次用时15毫秒,上游戏以后同样10000次通信就1600+毫秒了。
通信速度变慢跟读写没有关系,只是通信速度。
测试环境为Win7SP1,某P有IDT hook 有两个驱动还注册了一堆MiniFilter,尝试过禁用其中一个驱动没解决问题。
WIN10没有这个情况,感觉像是IDT HOOK的问题,但是只是测试通信速度,并没有读写操作,跟IDT应该也没啥关系啊,想不通,大佬们指点一下。。


[注意] 招人!base上海,课程运营、市场多个坑位等你投递!

收藏
点赞0
打赏
分享
最新回复 (14)
雪    币: 226
活跃值: 活跃值 (516)
能力值: ( LV5,RANK:68 )
在线值:
发帖
回帖
粉丝
万剑归宗 活跃值 1 2020-4-30 17:48
2
0
不搞P保护,速度就上来了。  ------------分分钟解决问题。
如果你非要搞,那就把你也解决了。------------解决了问题,解决了提出问题的人
雪    币: 830
活跃值: 活跃值 (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
洛臻 活跃值 2020-4-30 19:11
3
0
万剑归宗 不搞P保护,速度就上来了。 ------------分分钟解决问题。 如果你非要搞,那就把你也解决了。------------解决了问题,解决了提出问题的人
。。。 不能这么干啊
雪    币: 1481
活跃值: 活跃值 (440)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
iamasbcx 活跃值 2020-4-30 19:28
4
0
刚学sfilter 还没接触到minifilter
雪    币: 830
活跃值: 活跃值 (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
洛臻 活跃值 2020-4-30 21:36
5
0
没人遇到么。。 自己顶顶
雪    币: 10010
活跃值: 活跃值 (3415)
能力值: ( LV9,RANK:260 )
在线值:
发帖
回帖
粉丝
hzqst 活跃值 3 2020-4-30 22:43
6
0

minifilter不就是换皮版的ioctl,测试效率比IO快得多八成是你自己IOCTL代码或者buffer模式有问题
不信你自己windbg给自己的messagecallback打个断点,R3调用入口就是NtDeviceIoControlFile


顺便,idthook+fakecr3之后,每次读写都要最少两次cr3 switch,能不卡就有鬼了

最后于 2020-4-30 22:44 被hzqst编辑 ,原因:
雪    币: 830
活跃值: 活跃值 (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
洛臻 活跃值 2020-4-30 22:45
7
0
hzqst minifilter不就是换皮版的ioctl,测试效率比IO快得多八成是你自己IOCTL代码或者buffer模式有问题不信你自己windbg给自己的messagecallback打个断点,R3调用入口 ...
是嘛,但是之前听说某P检测IO通信但是不检测Mini啊 这是啥原理
雪    币: 10010
活跃值: 活跃值 (3415)
能力值: ( LV9,RANK:260 )
在线值:
发帖
回帖
粉丝
hzqst 活跃值 3 2020-4-30 22:48
8
0

最后于 2020-4-30 22:49 被hzqst编辑 ,原因:
雪    币: 830
活跃值: 活跃值 (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
洛臻 活跃值 2020-5-1 00:07
9
0
hzqst minifilter不就是换皮版的ioctl,测试效率比IO快得多八成是你自己IOCTL代码或者buffer模式有问题不信你自己windbg给自己的messagecallback打个断点,R3调用入口 ...
大佬,我没读写啊,只是通信一下而已就返回了。就这样效率还慢了100多倍
雪    币: 830
活跃值: 活跃值 (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
洛臻 活跃值 2020-5-1 11:01
10
0
测试把Hook IDT的驱动禁止加载后速度恢复正常了,但是如果是IDT HOOK的问题我没有读写为什么会降低效率呢?
雪    币: 830
活跃值: 活跃值 (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
洛臻 活跃值 2020-5-1 14:50
11
0
人工置顶
雪    币: 10010
活跃值: 活跃值 (3415)
能力值: ( LV9,RANK:260 )
在线值:
发帖
回帖
粉丝
hzqst 活跃值 3 2020-5-2 11:25
12
0
洛臻 测试把Hook IDT的驱动禁止加载后速度恢复正常了,但是如果是IDT HOOK的问题我没有读写为什么会降低效率呢?
msr hook
雪    币: 385
活跃值: 活跃值 (78)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
三只跳蚤 活跃值 2020-5-3 00:58
13
0
给我涩哥顶贴!!!
雪    币: 830
活跃值: 活跃值 (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
洛臻 活跃值 2020-5-3 22:24
14
0
三只跳蚤 给我涩哥顶贴!!!
车轮滚滚?
雪    币: 256
活跃值: 活跃值 (179)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ZwCopyAll 活跃值 2020-5-5 03:47
15
0
想起来win10 PG检测msr hook
游客
登录 | 注册 方可回帖
返回