阅读:3425回复:22
如果改变文件长度呀,我知道这个问题困惑着大家,请大牛给个思路就好
在受控的文件前面增加一个加密标志,然后我们驱动程序读取的时候识别它,决定是否加解密。而这个标志对应用层是完全透明的。
我想了解在什么时候改变长度,在那改变? 或有什么其它方法 |
|
最新喜欢:Dragon...
|
沙发#
发布于:2007-02-28 13:37
osr的坛子地址是? 是lists.osr.com |
|
板凳#
发布于:2007-02-28 10:47
osr的坛子地址是?
|
|
|
地板#
发布于:2007-02-28 10:36
大侠osr的新闻组 lists.osr.com
是否要密码 这下载不了里面的邮件看了以前的关于osr的帖子没能解决问题 希望大侠指导 |
|
地下室#
发布于:2007-02-27 20:06
引用第18楼hongpengtao于2007-02-27 09:30发表的“”: 你到osr的坛子上看看就能解决。不要对国人抱太大希望。 |
|
|
5楼#
发布于:2007-02-27 09:30
谢谢 devia的热心
我先去好好研究不明白地方再请教 再次谢谢 |
|
6楼#
发布于:2007-02-26 20:24
引用第12楼lsxredrain于2007-02-25 08:22发表的“”: 是否和杀毒软件有冲突,我只简单测试过Mcafee和Norton; 在OSR上有篇比较好的文章,是关于文件过滤驱动和杀毒软件 之间的冲突的原因、避免方法等问题的讨论: |
|
|
7楼#
发布于:2007-02-26 15:19
老大们有没有相关文件变长处理的资料
小弟也有这方面的需求 也希望板主能开个主题大家来讨论讨论 |
|
8楼#
发布于:2007-02-25 13:53
我也想看一下相关的资料 希望大牛不吝赐教
|
|
9楼#
发布于:2007-02-25 13:22
引用第10楼devia于2007-02-16 11:04发表的“”: 你看的是rookit?如果有,可否帖上来? |
|
|
10楼#
发布于:2007-02-25 11:38
隐藏某些可执行文件内的某段Code(添加节方法文件增大了,但是绝对表面上看不出来)~~
|
|
|
11楼#
发布于:2007-02-25 08:22
引用第10楼devia于2007-02-16 11:04发表的“”: 变长处理后和杀毒软件冲突吗? |
|
12楼#
发布于:2007-02-16 17:16
引用第10楼devia于2007-02-16 11:04发表的“”: Rootkit 中也用到这种技术? |
|
|
13楼#
发布于:2007-02-16 11:04
最近在OSR上泡了2周多,终于完美的实现了文件的变长处理,提示如下:
处理QUERY(FILE、DIR)/SET/READ/WRITE,其中要考虑过滤效率和自己读写文件的诸多问题; 其实这个技术已经被老外应用于RootKit中。 |
|
|
14楼#
发布于:2007-02-15 17:28
IrpSp->Parameters.Read.ByteOffset.LowPart
IrpSp->Parameters.Write.ByteOffset.LowPart 从0开始,第一次读4096, 以后至少读n*4096 ?? 如果读到文件尾, 则又开始从0开始读 |
|
15楼#
发布于:2007-02-13 18:21
有点明白了,努力中
有点明白了,努力中。在读前 IrpSp->Parameters.Read.ByteOffset.LowPart+4096 在读后 IrpSp->Parameters.Read.ByteOffset.LowPart - 4096 还在摸索,如有错误请指正 |
|
|
驱动小牛
|
16楼#
发布于:2007-02-13 10:53
我做过类似的.
|
|
17楼#
发布于:2007-02-13 10:24
yandong_8112
成功了没有? |
|
驱动小牛
|
18楼#
发布于:2007-02-09 11:37
虚进虚出,实写文件。
就是你文件的实际长度应该是加上你的头的,但你返回给应用层的却是去掉那个长度的。 需要处理READ/WRITE/SET/QUERY 反正就是,你的偏移和应用层的偏移是不同的,所有IRP进入和退出都需要做处理,自己研究吧. |
|
19楼#
发布于:2007-02-08 09:36
我现在也在尝试,我现在试的:
在Create中判断是否需要加密,是否已加密(自己创造irp下去读,然后判断),如果有加密标志,就删掉它。 在cleanup时把加密标志加上。 |
|
|
上一页
下一页