阅读:1330回复:2
文件透明加密中IRP_MJ_WRITE的疑惑》
最近根据tooflat 的代码研究透明加密,我做的时候,先不设置文件加密标记,
只要文件名中包含了" test.txt ",在IRP_MJ_WRITE 中便加密,而只要文件名中含有 "test.txt"便在IRP_MJ_WRITE 中解密 ,结果发现在写文件的时候,通过调试看到虽然加密了 但是我用工具winhex看,却发现低层数据没有变化,并且发到别的机器上,可以看到,还是没加密的原来的数据, 并而在打开文件的时候 ,也没进行解密,不知道问题出在哪里,我只 在sfilter 中的IRP_MJ_WRITE 和IRP_Mj_WRITE 进行了修改处理! |
|
|
沙发#
发布于:2008-12-01 09:12
re
1 IRP_MJ_WRITE 和IRP_Mj_WRITE 进行了修改处理!??????? 2 你的文件传递给 上层程序 (winhex)或者网络(这个也应该是通过程序传递出去的吧) 的时候都已经解密文件了 。想试验的话 可以使用一个u盘 来检测 (如果动态挂在卷已经实现的话) 也可以直接加密某文件后 卸载驱动再看一下是否是密文。 |
|
板凳#
发布于:2008-12-01 16:51
有道理!
先谢过楼上的英雄!我怀疑 是不是上层应用程序读的不是磁盘上的数据,而是直接读了高速缓存中的 数据 不过我先按照你说的试验一下哈! 3KS! |
|