阅读:1397回复:8
vcmfc请进!!!
看了以前vcmfc曾经就这种问题有一定经验,请帮帮我。
在本网站的专栏文章“隐藏任意进程,目录/文件,注册表,端口” 我利用了它上面贴的隐藏目录/文件的那一段,对系统调用ZwQueryDirectoryFile进行拦截, 出现了以下问题 Q1: 对隐藏的文件进行编辑就会死机,unhook该系统调用后,该文件名也丢了。 Q2: 我试图用参数 bReturnOnlyOneEntry为1来判断是否是编辑,但调试中发现列目录文件时 有一个文件bReturnOnlyOneEntry为1,其他bReturnOnlyOneEntry为0。 Q3: 总感觉一个列目录文件的功能是分参数bReturnOnlyOneEntry为1和为0的 两次ZwQueryDirectoryFile调用来实现的。假如要隐藏的目录/文件名是bReturnOnlyOneEntry 为1的返回结果(通过设置rc=0x80000006),那么其他bReturnOnlyOneEntry为0的返回结果也都不存在了。 也就是当你隐藏根目录c:\\或d:\\下的第一个文件/目录时,那剩下的文件/目录都不见了。 请问为什么?怎么解决?谢谢!! |
|
沙发#
发布于:2003-07-09 18:03
我是基于IFS Filter,而基于Hook内核函数,我就不清楚了。
|
|
板凳#
发布于:2003-07-09 18:04
隐藏文件可编译没有关系,一定是你处理有问题。
Sorry,帮不上你的忙。 |
|
地板#
发布于:2003-07-09 23:46
基于内核函数的截获,好像行不通,
|
|
|
地下室#
发布于:2003-07-10 14:51
我也碰到过,关注ing......
|
|
5楼#
发布于:2003-12-22 17:42
完全可以我实现过.
|
|
6楼#
发布于:2003-12-23 12:48
这是哪年的贴子。
其实都行,很简单,参考rootkit就可以。源程序到处都是。不就是删除那个串项吗!!!! :D :D :D :D :D :D :D :D :D :D |
|
7楼#
发布于:2003-12-25 11:19
能否给一分ROOTKIT源码给我?
谢了. |
|
8楼#
发布于:2003-12-25 11:21
忘记了:jhttccgg@sina.com
|
|