更好的方法就是不要用iocreatefile来打开文件，嘿嘿～～

居然用IoCreateFile打开文件（太弱了）
hook MmFlushImageSection的方法并不保险～
另外就是RemoveThreadNotify,有那么复杂么？
直接inline hook那个NotifyRoutine就可以了～
不需要真的Remove...

最后说句，这个删除文件的办法不是粉碎～
而是干掉顽固的家伙而已～

也就是原来的360驱动文件多了两种删除文件的方法
1. 发irp 删除
此时IoCreateFile 的DesiredAccess =  DesiredAccess = DELETET
|| FILE_WRITE_ATTRIBUTES ，打开的驱动文件在InputBuffer，没有从应用程序里调，自己跟一下

// 添加
2. 发irp 删除
此时IoCreateFile 的DesiredAccess =  FILE_READ_ATTRIBUTES ，打开的驱动文件在InputBuffer，没有从应用程序里调，自己跟一下

3. hook MmFlushImageSection 后再发 irp 删除，然后恢复hook MmFlushImageSection
此时IoCreateFile 的DesiredAccess =  FILE_READ_ATTRIBUTES

没有c代码，直接送idb 了，呵呵

这个主要是删文件，看来与真正的粉碎无关，应叫文件删除工具。
对于独占方式打开的文件，MJMM是怎么实现删除的，讲讲原理吧。

引用第7楼znsoft于2007-05-07 16:52发表的“”:



我还以为你是为了安全而粉碎文件呢

.......

正是为了安全而粉碎呀
不过不是数据安全，而是系统安全，呵呵

那个标准早就知道了

引用第5楼WQXNETQIQI于2007-05-07 16:48发表的“”:

粉碎只是暂时叫个名字，没想好怎么叫，反正目的是粉碎流氓木马

我还以为你是为了安全而粉碎文件呢

粉碎数据有国际标准的。而且不按标准做，很容易被恢复出来。

引用第3楼kakaba于2007-05-07 14:21发表的“”:



不正是驱网上讨论过的做法么？最早是谁用的来者？

很多人有提，不过好象都没怎么仔细说
我是写了这个后才看到的相关讨论的
RUNNING的花了20分钟反了下内核看的

引用第4楼znsoft于2007-05-07 16:36发表的“”:
大家弄明白没有怎么粉碎文件?按国际标准该怎么处理?

粉碎只是暂时叫个名字，没想好怎么叫，反正目的是粉碎流氓木马

大家弄明白没有怎么粉碎文件?按国际标准该怎么处理?

引用第0楼wangjianfeng于2007-05-07 10:54发表的“360的文件粉碎,很强悍,MJMM的作品”:
  360的文件粉碎,很强悍,MJMM的作品,试用了一下,不错的说,MM作到如此程度,佩服呀.

不正是驱网上讨论过的做法么？最早是谁用的来者？

DS又不是自己文件系统 （发IRP之类的不算 ）

不自己实现文件系统的话,总感觉不保险.