阅读:4713回复:22
传说中的总线级别文件隐藏~~
记得一年前cardmagic曾经写过一篇文章,其中提到了bus level的文件隐藏技术,不过没有涉及细节,现在旧话重提,希望大牛们暴暴料?
|
|
沙发#
发布于:2008-04-24 17:07
引用第20楼WQXNETQIQI于2008-04-16 13:36发表的 : 嘿嘿,学习。。。。 不通过设备栈,通过atapi解析磁盘到是不错,,, 。。。没实现过,不知道杂样。路过吹吹水。。。 |
|
板凳#
发布于:2008-04-22 14:47
就是他atapi.
不过目前支持boot的设备不光是 ide了,还有usb sd. |
|
地板#
发布于:2008-04-16 13:36
不要怀疑,就是可以这么取的
这个跟过滤驱动有啥关系?再说,如果自己解析磁盘,这儿就没这个信息了 |
|
|
地下室#
发布于:2008-04-16 13:05
我觉得也是,看了mj的那段代码,如果能如此简单的通过fileobject来获取文件路径及名称的话过滤驱动岂不是很好写???
|
|
5楼#
发布于:2008-04-16 08:32
可能是在缓存里。
|
|
6楼#
发布于:2008-04-16 08:31
简单测试了下,在ATAPI层获得的那些FILE 基本都是写注册表的LOG文件,很难找到需要的信息.
|
|
|
7楼#
发布于:2008-04-16 01:39
可以从nt4或者DDK的fastfat的代码往下去解读~
|
|
|
8楼#
发布于:2008-04-16 01:16
很神奇的哦~
|
|
|
9楼#
发布于:2008-04-14 09:37
引用第13楼WQXNETQIQI于2008-04-14 04:01发表的 : 我把port的每一个dispatch都轮流替换了一遍发现都不行。。。 也许是我人品有问题。。。 |
|
10楼#
发布于:2008-04-14 04:01
文件枚举也是磁盘读取
你下的dispatch不对,当然不弹 |
|
|
11楼#
发布于:2008-04-13 22:16
但是在枚举文件时不会走port层吧?读写会走~~
我在port的dispatch上下断点后在枚举目录时softice根本就弹不出来啊,何谈过is和ds? |
|
12楼#
发布于:2008-04-13 18:41
fs最后要走到port
|
|
|
13楼#
发布于:2008-04-13 12:44
如果真如mj所说的那样加载之后就可以过is和ds的话我就疑惑了:
二者枚举文件貌似只走到fs层吧,关port层什么事? |
|
14楼#
发布于:2008-04-13 11:15
scsi dispatch
|
|
|
15楼#
发布于:2008-04-13 11:15
机密~
|
|
|
16楼#
发布于:2008-04-13 10:20
我试了下,没有生效~~~~~
主要还是mj说的scsi dispatch是处理那个mj irp的dispatch啊?mj说一下吧。。。 |
|
17楼#
发布于:2008-04-13 09:06
对付某些WS工具还要禁止读取XXXX.sys才行~
|
|
|
18楼#
发布于:2008-04-12 23:19
cardmagic所言总线级就是atapi这玩意儿~
加载后即生效~ |
|
|
19楼#
发布于:2008-04-12 08:20
scsi dispatch是哪一个IRP_MJ?另外你的是加载之后即可生效还是需要reboot?
这个貌似只能算是port级别的吧...不过还是赞一个 |
|
上一页
下一页