磁盘过滤驱动，关于磁盘写保护 50分

这个问题比较急，我一直学习的是文件过滤驱动，对磁盘驱动一无所知。

我从文件过滤驱动，做了个文件写保护，但是我发现winhex还是能够写入数据。

有人提醒我，使用磁盘过滤驱动。我看了一下diskperf，但是不会用。

请问如何在diskperf下，完全禁止某个磁盘写操作？

50分相送。

磁盘过滤驱动可以拦截到的,还原卡基本上都是这个原理

最毒的一招：把所有要写磁盘的程序从电脑里删掉。

最安全的为A1级安全
电脑锁在一个无人知道的密室中，并且没有上电。这个密室的钥匙只有一把，而知道这个钥匙在哪里的人，100年前就已经死了

最毒的一招：把所有要写磁盘的程序从电脑里删掉。

hook int 13h,不能防止磁盘I/O破坏，wowocock的方法，其实是采用单步中断，一个一个指令分析，将破坏磁盘的i/o指令过滤掉，这招够狠，但如果有人把Int 1替换，这招又失效了，建议再hook int 8，9，随时检查这些中断，发现异常，立即修正回来。但最好是不让任何外来东西修改这些重要地方，即所有进入ring 0的程序都得单步分析，过滤，似乎有点人工智能的味道了，不能往下说了

另一个问题，安装diskperf过程中，出现的“数字签名”，我想使用修改注册表的方法，来禁止“数字签名”弹出。但是，我估计“希望”很渺茫。

本人愚昧，这么一点程序，将近花了我10天时间。


[编辑 -  1/19/05 by  aasa2]

search in this bbs

谢谢各位。
你们当中 有的方法 我还不会。

我从磁盘驱动做成功了，我知道还是由方法， 能够向磁盘写数据。
但这样也是临时解一下问题，哈哈。

当然在修改diskperf过成中，遇到不少问题，
最头疼的是： 不知道如何从应用层和diskperf通信（diskperf比较特殊）。后来我是使用了另外一种途径和他通信。

另一个问题，安装diskperf过程中，出现的“数字签名”，我想使用修改注册表的方法，来禁止“数字签名”弹出。但是，我估计“希望”很渺茫。

本人愚昧，这么一点程序，将近花了我10天时间。


[编辑 -  1/19/05 by  aasa2]

能否从磁盘driver object入手，修改dispatch表。
只是个人设想。

right A to his Q :D

another difficult way: hook int 13h

能否从磁盘driver object入手，修改dispatch表。
只是个人设想。

用ifs写文件过滤驱动应该是能阻值大部分文件写动作的，有没有阻止FASTIOWRITE？

好像阻止了也没有用！
我打算从磁盘驱动出发。

用ifs写文件过滤驱动应该是能阻值大部分文件写动作的，有没有阻止FASTIOWRITE？

CPU资料中，有I/O位图，规定哪些端口可写，哪些端口不可写。修改它，然后截获它，难度大一些，但还原精灵中防止i/o破坏，就是这样做的。

I/O位图只对RING3程序有效,RING0程序IO时候根本无须参考I/O位图......

CPU资料中，有I/O位图，规定哪些端口可写，哪些端口不可写。修改它，然后截获它，难度大一些，但还原精灵中防止i/o破坏，就是这样做的。

这样做会不会给系统带来影响？
这个是驱动吗？如果不是，我又得学，没意思！

CPU资料中，有I/O位图，规定哪些端口可写，哪些端口不可写。修改它，然后截获它，难度大一些，但还原精灵中防止i/o破坏，就是这样做的。

试一下IoBuildDeviceIoControlRequest+IOCTL_DISK_GET_PARTITION_INFO。

如何在磁盘过滤驱动中，得到当前访问的是哪一个磁盘？
谢谢！

文件操作是可以拦截的，在9X下没问题。

先安装IFSHOOK，然后IFSHOOK 拦截文件读写操作，想怎么做就怎么做咯：）

 “拦截文件” 可能不行！！

先安装IFSHOOK，然后IFSHOOK拦截文件读写操作，想怎么做就怎么做咯：）

实际点说，用IFSHOOK可以搞定，9X下我就是这样做地。

简单说说你的做法。