阅读:1396回复:8
哪位大牛知道过滤驱动能否控制可执行文件的运行?
谢谢!
|
|
最新喜欢:![]() |
沙发#
发布于:2007-05-31 20:14
可以...
|
|
|
板凳#
发布于:2007-06-01 09:03
引用第1楼znsoft于2007-05-31 20:14发表的 : 请问怎么控制,我最开始考虑是采用获取文件名的方式,判断是否是可执行文件,可是这样会把系统的文件也禁止的。 |
|
地板#
发布于:2007-06-01 09:46
在Create例程中判断,如下示例:
ACCESS_MASK DesiredAccess = 0; DesiredAccess = irpSp->Parameters.Create.SecurityContext->DesiredAccess; if( FlagOn(DesiredAccess, FILE_EXECUTE) ) ... |
|
|
地下室#
发布于:2007-06-01 10:56
引用第3楼devia于2007-06-01 09:46发表的 : devia大侠,采用上面的方式进行处理,会把系统的很多exe文件也禁用的,而我只是想禁用个别可执行文件,而且有可能这些可执行文件的路径和文件名时可变的,这种情况下,该怎么处理呢? 谢谢! |
|
5楼#
发布于:2007-06-01 11:12
把决定权交给用户,就是说你判断到是FILE_EXECUTE/EXE时,把这个文件名交给用户去判断,如果用户让它PASS,你就PASS,否则REJECT。当然内部处理时,你可以灵活一些,比如建立一个WhiteList.txt,里边预先包含系统的.exe在里边,如果是这些,就不用交给用户判断,你内部直接PASS就可以。
我现在就是这么干,让木马还没有运行起来就扼杀之,总比让它起来之后再废那么大劲去清除。 何况目前很多Anti-Rootkit软件都是吹牛过头,喜欢玩概念,什么Direct-Disk-Read啊等等,实际却垃圾得很。 |
|
6楼#
发布于:2007-06-01 13:57
Direct Disk Read又如何?
绕过冰点了么? 没有的话,回家洗洗睡了吧~ |
|
|
7楼#
发布于:2007-06-01 14:19
到处都是火药味,楼上两位又开始干上了?
|
|
|
8楼#
发布于:2007-06-24 00:32
56楼说得不错。
|
|