回复: 2009年7月9日[日志分析 2 ]讲义
2010年7月13日更新:
====扩展阅读====
关于路径前的特殊符号,如以下两个路径,前面的问号是什么意思?路径到底在哪?
\??\c:\windows\system32\winlogon.exe
\SystemRoot\System32\smss.exe
\??\是一个符号链接,常见于内核级的程序,内核模式下的程序在访问时是使用设备名去访问物理设备的,本例中的\??\C:对应的设备为\Device\Harddisk0\Partition1,即第一块硬盘的第一个分区。但是用户级的程序是无法通过设备名查询的,为了让用户级程序访问设备,就需要使用符号链接。这时用户级程序访问的是c:\windows\system32\winlogon.exe,而内核级程序访问的是\Device\Harddisk0\Partition1\windows\system32\winlogon.exe;
\SystemRoot\实际上也是符号链接,对应的设备是\Device\Harddisk0\Partition1\windows,就是第一块硬盘的第一个分区中的windows目录;
=============
讲义打包下载:
附件:
您所在的用户组无法下载或查看附件相关资料:
附件:
您所在的用户组无法下载或查看附件
