版块
论坛
喜欢
话题
应用
搜索
登录
注册
powerboot的个人空间
访问量
0
新鲜事
帖子
资料
http://bbs3.driverdevelop.com/index.php?m=space&uid=183508
传说中的总线级别文件隐藏~~
记得一年前cardmagic曾经写过一篇文章,其中提到了bus level的文件隐藏技术,不过没有涉及细节,现在旧话重提,希望大牛们暴暴料?
回复
(
22
)
2008-04-11 18:53
来自版块 -
反流氓、反木马和rootkit
◆
◆
表情
告诉我的粉丝
提 交
qiweixue
:
引用第20楼WQXNETQIQI于2008-04-16 13:36发表的 : 不要怀疑,就是可以这么取的 这个跟过滤驱动有啥关系?再说,如果自己解析磁盘,这儿就没这个信息了 嘿嘿,学习。。。。 不通过设备栈,通过atapi解析磁盘到是不错,,, 。。。没实现过,不知道杂样。路...
(2008-04-24 17:07)
回复
GoodOnline
:
就是他atapi. 不过目前支持boot的设备不光是 ide了,还有usb sd.
(2008-04-22 14:47)
回复
WQXNETQIQI
:
不要怀疑,就是可以这么取的 这个跟过滤驱动有啥关系?再说,如果自己解析磁盘,这儿就没这个信息了
(2008-04-16 13:36)
回复
powerboot
:
我觉得也是,看了mj的那段代码,如果能如此简单的通过fileobject来获取文件路径及名称的话过滤驱动岂不是很好写???
(2008-04-16 13:05)
回复
zjjmj2002
:
可能是在缓存里。
(2008-04-16 08:32)
回复
wowocock
:
简单测试了下,在ATAPI层获得的那些FILE 基本都是写注册表的LOG文件,很难找到需要的信息.
(2008-04-16 08:31)
回复
killvxk
:
可以从nt4或者DDK的fastfat的代码往下去解读~
(2008-04-16 01:39)
回复
killvxk
:
很神奇的哦~
(2008-04-16 01:16)
回复
powerboot
:
引用第13楼WQXNETQIQI于2008-04-14 04:01发表的 : 文件枚举也是磁盘读取 你下的dispatch不对,当然不弹 我把port的每一个dispatch都轮流替换了一遍发现都不行。。。
也许是我人品有问题。。。
(2008-04-14 09:37)
回复
WQXNETQIQI
:
文件枚举也是磁盘读取 你下的dispatch不对,当然不弹
(2008-04-14 04:01)
回复
1
2
3
下一页 »
powerboot
加关注
写私信
0
关注
0
粉丝
36
帖子
返回顶部