|
阅读:1511回复:0
【求助】文件过滤加密标识问题
请各位前辈指点一二!最近碰到个问题,搞不明白是哪个地方出问题的。描述如下:
首先,使用sfilter框架,对文件(不是office 那些会出现临时文件的文件)进行过滤加解密。以txt 为例说明。 现在 对于 notepad.exe 加解密全部正常! 但是 如果自己用win API 写一个简单的程序,创建文件写入内容,关闭句柄。就会出现写的内容写不进去。但是 文件标识 添加成功了。比如我要写“abcd”四个字节的长度,我的writefile 里面的写入长度就 要变成 1024*4+4 这个大小才能把内容写进文件(1024*4是那个文件标识占据的额外的文件头)。 进过 windbg 断点 调试,发现 到达过滤层的时候 writePre 中的buffer中的数据时正确的,然后也拦截到了 setinformation 那个IRP 大小也进行了更改。但是这些都做完了,文件内容却只有 那个1024*4大小的头,writefile的内容根本没有写进去! 另外我 对比了 notepad 和 自己写的程序的 irp 下发的区别。发现notepad 在ctrl+s的时候 会先下发两个setinformation IRP然后是write 再然后 再次setinformation。 但是 我们自己的程序就 没有write 之前的那两个 setinformation。 感谢各位前辈! 请指点一二!!!! |
|
