liushuzhang94006

在windows里，硬盘的每个分区被抽象为驱动程序中的设备对象。像C盘，D盘这些，在系统中都有一个对应的设备对象。C盘对应的设备对象是\Device\HarddiskVolume1文件系统过滤驱动，就是在文件系统驱动上生成自己的设备，然后去绑定这些设备，从而实现对发送给卷设备的IRP进行过滤，进而过

通过改写PE文件的导入段，实现DLL的加载。PE文件的导入段记录了系统所要加载的DLL名，以及由该DLL所导出的，PE文件中所用到的函数信息。