vcmfc请进！！！

楼主^#

更多发布于：2003-07-09 10:08

看了以前vcmfc曾经就这种问题有一定经验，请帮帮我。

在本网站的专栏文章“隐藏任意进程，目录/文件，注册表，端口”
我利用了它上面贴的隐藏目录/文件的那一段，对系统调用ZwQueryDirectoryFile进行拦截,
出现了以下问题
Q1：对隐藏的文件进行编辑就会死机，unhook该系统调用后，该文件名也丢了。

Q2: 我试图用参数 bReturnOnlyOneEntry为1来判断是否是编辑，但调试中发现列目录文件时
有一个文件bReturnOnlyOneEntry为1，其他bReturnOnlyOneEntry为0。

Q3: 总感觉一个列目录文件的功能是分参数bReturnOnlyOneEntry为1和为0的
两次ZwQueryDirectoryFile调用来实现的。假如要隐藏的目录/文件名是bReturnOnlyOneEntry
为1的返回结果(通过设置rc=0x80000006)，那么其他bReturnOnlyOneEntry为0的返回结果也都不存在了。
也就是当你隐藏根目录c:\\或d:\\下的第一个文件/目录时，那剩下的文件/目录都不见了。

请问为什么？怎么解决？谢谢！！

喜欢0

vcmfc 驱动中牛注册日期2001-03-23 最后登录2008-01-28 粉丝0 关注0 积分528分威望53点贡献值0点好评度52点原创分0分专家分0分加关注写私信	沙发^# 发布于：2003-07-09 18:03 我是基于IFS Filter,而基于Hook内核函数，我就不清楚了。
	回复(0) 喜欢(0)

vcmfc 驱动中牛注册日期2001-03-23 最后登录2008-01-28 粉丝0 关注0 积分528分威望53点贡献值0点好评度52点原创分0分专家分0分加关注写私信	板凳^# 发布于：2003-07-09 18:04 隐藏文件可编译没有关系，一定是你处理有问题。 Sorry,帮不上你的忙。
	回复(0) 喜欢(0)

lifeship

驱动小牛

注册日期2002-10-18
最后登录2005-07-19
粉丝0
关注0
积分6分
威望2点
贡献值0点
好评度0点
原创分0分
专家分0分

加关注写私信

地板^#

发布于：2003-07-09 23:46

基于内核函数的截获，好像行不通，

杯汝前来，　老子今朝，　放荡形骸！　甚长年抱渴，　咽如焦釜，　于今喜醉，　气似奔雷！　慢说刘伶，　古今达者，　醉后何妨死便埋!　

回复喜欢

zhangyj 驱动牛犊注册日期2002-07-17 最后登录2009-07-17 粉丝0 关注0 积分103分威望50点贡献值1点好评度9点原创分0分专家分0分加关注写私信	地下室^# 发布于：2003-07-10 14:51 我也碰到过，关注ing......
	回复(0) 喜欢(0)

ttccgg 驱动牛犊注册日期2003-10-22 最后登录2009-04-27 粉丝0 关注0 积分7分威望31点贡献值1点好评度0点原创分0分专家分0分加关注写私信	5楼^# 发布于：2003-12-22 17:42 完全可以我实现过.
	回复(0) 喜欢(0)

vcmfc 驱动中牛注册日期2001-03-23 最后登录2008-01-28 粉丝0 关注0 积分528分威望53点贡献值0点好评度52点原创分0分专家分0分加关注写私信	6楼^# 发布于：2003-12-23 12:48 这是哪年的贴子。其实都行，很简单，参考rootkit就可以。源程序到处都是。不就是删除那个串项吗！！！！ :D :D :D :D :D :D :D :D :D :D
	回复(0) 喜欢(0)

ttccgg 驱动牛犊注册日期2003-10-22 最后登录2009-04-27 粉丝0 关注0 积分7分威望31点贡献值1点好评度0点原创分0分专家分0分加关注写私信	7楼^# 发布于：2003-12-25 11:19 能否给一分ROOTKIT源码给我? 谢了.
	回复(0) 喜欢(0)

ttccgg 驱动牛犊注册日期2003-10-22 最后登录2009-04-27 粉丝0 关注0 积分7分威望31点贡献值1点好评度0点原创分0分专家分0分加关注写私信	8楼^# 发布于：2003-12-25 11:21 忘记了:jhttccgg@sina.com
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册

vcmfc请进！！！

最新喜欢：