60楼#
发布于:2007-05-08 16:25
更好的方法就是不要用iocreatefile来打开文件,嘿嘿~~
|
|
|
61楼#
发布于:2007-05-08 16:24
居然用IoCreateFile打开文件(太弱了)
hook MmFlushImageSection的方法并不保险~ 另外就是RemoveThreadNotify,有那么复杂么? 直接inline hook那个NotifyRoutine就可以了~ 不需要真的Remove... 最后说句,这个删除文件的办法不是粉碎~ 而是干掉顽固的家伙而已~ |
|
|
62楼#
发布于:2007-05-08 15:43
也就是原来的360驱动文件多了两种删除文件的方法
1. 发irp 删除 此时IoCreateFile 的DesiredAccess = DesiredAccess = DELETET || FILE_WRITE_ATTRIBUTES ,打开的驱动文件在InputBuffer,没有从应用程序里调,自己跟一下 // 添加 2. 发irp 删除 此时IoCreateFile 的DesiredAccess = FILE_READ_ATTRIBUTES ,打开的驱动文件在InputBuffer,没有从应用程序里调,自己跟一下 3. hook MmFlushImageSection 后再发 irp 删除,然后恢复hook MmFlushImageSection 此时IoCreateFile 的DesiredAccess = FILE_READ_ATTRIBUTES 没有c代码,直接送idb 了,呵呵 |
|
|
驱动小牛
|
63楼#
发布于:2007-05-07 21:17
这个主要是删文件,看来与真正的粉碎无关,应叫文件删除工具。
对于独占方式打开的文件,MJMM是怎么实现删除的,讲讲原理吧。 |
64楼#
发布于:2007-05-07 17:24
引用第7楼znsoft于2007-05-07 16:52发表的“”: 正是为了安全而粉碎呀 不过不是数据安全,而是系统安全,呵呵 那个标准早就知道了 |
|
|
65楼#
发布于:2007-05-07 16:52
引用第5楼WQXNETQIQI于2007-05-07 16:48发表的“”: 我还以为你是为了安全而粉碎文件呢 粉碎数据有国际标准的。而且不按标准做,很容易被恢复出来。 |
|
|
66楼#
发布于:2007-05-07 16:50
引用第3楼kakaba于2007-05-07 14:21发表的“”: 很多人有提,不过好象都没怎么仔细说 我是写了这个后才看到的相关讨论的 RUNNING的花了20分钟反了下内核看的 |
|
|
67楼#
发布于:2007-05-07 16:48
引用第4楼znsoft于2007-05-07 16:36发表的“”: 粉碎只是暂时叫个名字,没想好怎么叫,反正目的是粉碎流氓木马 |
|
|
68楼#
发布于:2007-05-07 16:36
大家弄明白没有怎么粉碎文件?按国际标准该怎么处理?
|
|
|
69楼#
发布于:2007-05-07 14:21
引用第0楼wangjianfeng于2007-05-07 10:54发表的“360的文件粉碎,很强悍,MJMM的作品”: 不正是驱网上讨论过的做法么?最早是谁用的来者? |
|
70楼#
发布于:2007-05-07 14:18
DS又不是自己文件系统 (发IRP之类的不算 )
|
|
|
71楼#
发布于:2007-05-07 12:51
不自己实现文件系统的话,总感觉不保险.
|
|
|
上一页
下一页