-
我目前知道的比较靠谱的就只有Minifilter 方式,但是实现起来花的功夫较多不知道有没有类似使用ObRegisterCallbacks 和CmRegisterCallback,这样的注册回调函数来实现保护文件的的函数请高手指点一二,谢过!
2012-09-08 09:29 来自版块 - 文件系统(过滤)驱动程序开发
-
我目前知道的比较靠谱的就只有Minifilter 方式,但是实现起来花的功夫较多不知道有没有类似使用ObRegisterCallbacks 和CmRegisterCallback,这样的注册回调函数来实现保护文件的的函数请高手指点一二,谢过!
2012-09-08 09:28 来自版块 - 反流氓、反木马和rootkit
-
在windows7 下,firewall—filter中可以找到IP驱动的设备指针,并且构造IRP挂接过滤函数成功但是有网络包发送时,却到不了过滤函数中,请问一下哪位大侠是否遇到过该问题,有解决思路吗?谢谢!
2012-04-16 19:47 来自版块 - NDIS网络接口开发
-
测试发现重大bug,通过sectionhandle获得全路径不正确,icesword也存在同样的错误!我在做hook ZwCreateProcess的时候,通过传入的Sectionhandle来获得文件全路径,在绝对大多数情况下是正确的,当时当以下情况发生时,错误。比如:将文件 ... 全文
2010-10-23 10:43 来自版块 - 内核编程
-
测试发现重大bug,通过sectionhandle获得全路径不正确,icesword也存在同样的错误!我在做hook ZwCreateProcess的时候,通过传入的Sectionhandle来获得文件全路径,在绝对大多数情况下是正确的,当时当以下情况发生时,错误。比如:将文件 ... 全文
2010-10-23 10:42 来自版块 - PC安全编程
-
网上有人说设置ethread结构中的CrossThreadFlags标记为PS_CROSS_THREAD_FLAGS_SYSTEM 就可以达到防杀目的,原理比较简单也是比较传统的我在XP和2003下均能顺利测试成功,但是在2000下,死活行不同,后来看来了一下2000下Ethre... 全文
2010-06-27 16:45 来自版块 - PC安全编程
-
书中代码没问题,但并没有实现修改加密,我想改进一下思路是:对于原来的文件,同样是在有写意愿时,在IRP_MJ_CREATE的预处理中,将原来的数据往后移动4K(标记长度)然后在原文件的起始处添加标记4K,同时设置需要进行后处理的标记,传递下去,把刚才的文件,加入到加密表中大概思路... 全文
2009-08-17 20:12 来自版块 - 文件系统(过滤)驱动程序开发
-
NtWriteProcessMemoryNtReadProcessMemoryZwWriteProcessMemoryZWReadProcessMemory这四个在WDK上根本没有原型,google了半天都没看到影子,达人请指点,谢谢!
2009-07-09 22:48 来自版块 - ABC初学者
-
在做加密标记处理时,我是在IRP_MJ_CREATE 完成后在加上512个字节的头部加标记,在IRP_MJ_READ中读到加密文件是,让位移IrpSp->Parameters.Read.ByteOffset加上512,再返回在IRP_MJ_WRITE中写加密数据时,也让 I... 全文
2009-04-06 11:45 来自版块 - 文件系统(过滤)驱动程序开发
-
我现在做的透明加解密中,用网上找到的一个段清空缓存的代码,如果是针对记事本这里程序,能成功清空缓存但是如果是word程序,保存为HTML格式或rtf格式,用记事本打开,发现前半部是加密的后半部分没加密,但是等隔一段时候,再来打开,却又是全部加密的,甚至我把word保存的文件全部发... 全文
2009-03-02 11:32 来自版块 - 文件系统(过滤)驱动程序开发
-
先谢谢tooflat大哥了,你的透明加解密的确写的非常不错!我借鉴了tooflat大哥的代码,写了一个透明加解密的程序现在我想对已经加密的文件,进行解密,在内核层,我调试了一下,解密没问题!后来我想了一下,把已经加密文件,放到另一个没有安装加解密程序的主机上在知道密钥的情况下,用... 全文
2009-01-09 09:30 来自版块 - 文件系统(过滤)驱动程序开发
-
我想 hook 剪贴板的API 中 GetClipboardData 和SetClipboardData这两个函数跟了半天都没找到内核层这两个和函数的对应的函数是什么,不知道哪个大哥知道,请不吝赐教,感激不尽!另外附上:利用detours库做的应用层的API HOOK 程序,... 全文
2009-01-05 17:56 来自版块 - 内核编程
-
我在sfilter里面的绑定卷的的地方,想打开这个卷里面的文件,读取数据,文件的 路径知道 , 每次调用ZwCreateFile都不能成功 !各位英雄,请问在这个时候不能获得该卷文件对象的句柄吗?什么时候才可以呢?
2008-12-30 17:00 来自版块 - 文件系统(过滤)驱动程序开发
-
最近一直看透明加密,头都大了啊,突然在冥冥之中看到这篇文章,犹如一阵清风拂面啊,不敢独享,希望初识文件透明加解密的同仁少走弯路,也希望后面大家有好文章,直接往驱网上挂(这是做开发时的一些经验和研究文献中总结出来的,希望对一些朋友有用)全文
2008-12-01 22:02 来自版块 - 文件系统(过滤)驱动程序开发
-
最近根据tooflat 的代码研究透明加密,我做的时候,先不设置文件加密标记,只要文件名中包含了" test.txt ",在IRP_MJ_WRITE 中便加密,而只要文件名中含有"test.txt"便在IRP_MJ_WRITE 中解密 ,结... 全文
2008-11-29 14:31 来自版块 - 文件系统(过滤)驱动程序开发
-
sfcreate中完成函数中判断是打开一个文件的方法,我在CHUKANGREN的教材中看到好象是 ;在完成函数以后用Irp->IoStatus.Information&FILE_OPEN !=0 判断但是当我单击某个文件,而不是双击的时候,这个条件仍然成立,郁闷中!
2008-11-11 20:17 来自版块 - 文件系统(过滤)驱动程序开发
-
在调用完成函数之前,IRP请求还没有达到文件系统时,可以利用过滤驱动得到哪些信息呢?如是打开文件还是新建文件,该文件对象是文件还还是文件夹,或是其他的?谢谢路过的大侠!
2008-11-07 09:58 来自版块 - 文件系统(过滤)驱动程序开发
-
在内核态下,文件的复制是一些类IRP请求的组合,如果我要拦截文件复制操作,让某一个文件不能被复制到其他目录下,不知道该怎么拦截才可以呢谢谢各位大虾指点!
2008-10-25 19:10 来自版块 - 文件系统(过滤)驱动程序开发
-
首先谢谢boywhp,,我根据你的代码,结合sfiter ,做了一下隐藏文件的测试,先贴代码,然后再说:如下:NTSTATUSDirControlCompletion(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp, IN PVOID Co... 全文
2008-10-23 15:51 来自版块 - 文件系统(过滤)驱动程序开发
-
在winpcap的文档里面之哟截获和分析UDP包的例子,不知道怎样截获和分析TCP包呢?问题的重点是在截获到TCP后, 怎样定位到TCP包的头部呢?在处理UDP包的时候,winpcap 在packet_handler()中用了这定位到UDP包 /* retireve the po... 全文
2007-10-28 16:30 来自版块 - 网络安全技术
