首页>驱动开发>文件系统(过滤)驱动程序开发>哪位大牛知道过滤驱动能否控制可执行文件的运行?
回复
« 返回列表
test001
test001
驱动小牛
驱动小牛
  • 注册日期2006-11-12
  • 最后登录2008-11-07
  • 粉丝0
  • 关注0
  • 积分990分
  • 威望170点
  • 贡献值0点
  • 好评度169点
  • 原创分0分
  • 专家分0分
写私信
阅读:1397回复:8

哪位大牛知道过滤驱动能否控制可执行文件的运行?

楼主#
更多 发布于:2007-05-31 19:33
谢谢!
喜欢1

最新喜欢:

tmx21tmx21
回复
xhjjxm
xhjjxm
驱动小牛
驱动小牛
  • 注册日期2005-08-03
  • 最后登录2010-07-28
  • 粉丝0
  • 关注0
  • 积分1011分
  • 威望208点
  • 贡献值0点
  • 好评度87点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2007-06-24 00:32
56楼说得不错。
回复(0) 喜欢(0)
liuyan1
liuyan1
驱动老牛
驱动老牛
  • 注册日期2001-08-27
  • 最后登录2023-04-18
  • 粉丝0
  • 关注0
  • 积分1031分
  • 威望477点
  • 贡献值0点
  • 好评度187点
  • 原创分0分
  • 专家分0分
写私信
  • 社区居民
板凳#
发布于:2007-06-01 14:19
到处都是火药味,楼上两位又开始干上了?
楼上的客,楼下的客,听我老坎说明白,要苛屎有草纸,不要扯我的麦席子,要苛尿有夜壶,不要在床上划地图。
回复(0) 喜欢(0)
killvxk
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
写私信
地板#
发布于:2007-06-01 13:57
Direct Disk Read又如何?
绕过冰点了么?
没有的话,回家洗洗睡了吧~
没有战争就没有进步 X3工作组 为您提供最好的军火
回复(0) 喜欢(0)
slwqw
slwqw
驱动大牛
驱动大牛
  • 注册日期2002-07-18
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分7分
  • 威望197点
  • 贡献值0点
  • 好评度147点
  • 原创分0分
  • 专家分0分
写私信
地下室#
发布于:2007-06-01 11:12
把决定权交给用户,就是说你判断到是FILE_EXECUTE/EXE时,把这个文件名交给用户去判断,如果用户让它PASS,你就PASS,否则REJECT。当然内部处理时,你可以灵活一些,比如建立一个WhiteList.txt,里边预先包含系统的.exe在里边,如果是这些,就不用交给用户判断,你内部直接PASS就可以。

我现在就是这么干,让木马还没有运行起来就扼杀之,总比让它起来之后再废那么大劲去清除。

何况目前很多Anti-Rootkit软件都是吹牛过头,喜欢玩概念,什么Direct-Disk-Read啊等等,实际却垃圾得很。
回复(0) 喜欢(0)
test001
test001
驱动小牛
驱动小牛
  • 注册日期2006-11-12
  • 最后登录2008-11-07
  • 粉丝0
  • 关注0
  • 积分990分
  • 威望170点
  • 贡献值0点
  • 好评度169点
  • 原创分0分
  • 专家分0分
写私信
5楼#
发布于:2007-06-01 10:56
引用第3楼devia于2007-06-01 09:46发表的  :
在Create例程中判断,如下示例:

ACCESS_MASK DesiredAccess = 0;
DesiredAccess = irpSp->Parameters.Create.SecurityContext->DesiredAccess;
if( FlagOn(DesiredAccess, FILE_EXECUTE) )
.......


devia大侠,采用上面的方式进行处理,会把系统的很多exe文件也禁用的,而我只是想禁用个别可执行文件,而且有可能这些可执行文件的路径和文件名时可变的,这种情况下,该怎么处理呢?
谢谢!
回复(0) 喜欢(0)
devia
devia
论坛版主
论坛版主
  • 注册日期2005-05-14
  • 最后登录2016-04-05
  • 粉丝3
  • 关注0
  • 积分1029分
  • 威望712点
  • 贡献值1点
  • 好评度555点
  • 原创分8分
  • 专家分4分
写私信
6楼#
发布于:2007-06-01 09:46
在Create例程中判断,如下示例:

ACCESS_MASK DesiredAccess = 0;
DesiredAccess = irpSp->Parameters.Create.SecurityContext->DesiredAccess;
if( FlagOn(DesiredAccess, FILE_EXECUTE) )
   ...
人总在矛盾中徘徊。。。
回复(0) 喜欢(0)
test001
test001
驱动小牛
驱动小牛
  • 注册日期2006-11-12
  • 最后登录2008-11-07
  • 粉丝0
  • 关注0
  • 积分990分
  • 威望170点
  • 贡献值0点
  • 好评度169点
  • 原创分0分
  • 专家分0分
写私信
7楼#
发布于:2007-06-01 09:03
引用第1楼znsoft于2007-05-31 20:14发表的  :
可以...


请问怎么控制,我最开始考虑是采用获取文件名的方式,判断是否是可执行文件,可是这样会把系统的文件也禁止的。
回复(0) 喜欢(0)
znsoft
znsoft
管理员
管理员
  • 注册日期2001-03-23
  • 最后登录2023-10-25
  • 粉丝300
  • 关注6
  • 积分910分
  • 威望14796点
  • 贡献值7点
  • 好评度2410点
  • 原创分5分
  • 专家分100分
写私信
  • 社区居民
  • 最爱沙发
  • 社区明星
8楼#
发布于:2007-05-31 20:14
可以...
http://www.zndev.com 免费源码交换网 ----------------------------- 软件创造价值,驱动提供力量! 淡泊以明志,宁静以致远。 ---------------------------------- 勤用搜索,多查资料,先搜再问。
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部