《WIN64驱动教程》补充[2]：干掉所有sfilter和MiniFilter

Tesla.Angela · 发表于 2014-6-2 19:15:29

作者：Tesla.Angela

在教程里只有干掉MiniFilter的代码，但是文件系统的过滤器，除了MiniFilter，还有古老的“文件系统过滤驱动”。但实际上，MiniFilter是基于传统过滤驱动的，只要把文件系统上attach的所有设备清零，那么所有的sfilter和MiniFilter都失效了。以下代码执行的效果是：可以直接删除卡巴斯基、360等杀毒软件的文件（在WIN7X64上测试）。代码支持32位和64位系统。

游客，如果您要查看本帖隐藏内容请回复

sunsan · 发表于 2014-9-18 22:14:18

已经搞定了，谢谢这份代码

5ak · 发表于 2024-1-1 09:06:11

学习了

Krueger · 发表于 2024-1-2 03:30:01

学习了

renminbi · 发表于 2024-1-2 09:14:41

把文件系统上attach的所有设备清零，应该可以了

sam7894604 · 发表于 2024-1-3 21:30:55

学习了

zf0815zj · 发表于 2024-1-3 22:17:12

学习了

委员长 · 发表于 2024-1-6 17:46:05

感谢大佬分享

376408384 · 发表于 2024-1-9 09:58:19

本帖最后由 376408384 于 2024-1-9 10:31 编辑

__int64 __fastcall RtlGetNtVersionNumbers(_DWORD *a1, _DWORD *a2, _DWORD *a3) 不知道用这个函数行不行系统是通过peb获取的

376408384 · 发表于 2024-1-9 10:28:01

376408384 发表于 2024-1-9 09:58
__int64 __fastcall RtlGetNtVersionNumbers(_DWORD *a1, _DWORD *a2, _DWORD *a3) 不知道用这个函数行不行 ...

不好意思发错帖子~！

帐号		自动登录	找回密码
密码			加入我们

《WIN64驱动教程》补充[2]：干掉所有sfilter和MiniFilter

点评