TP的学习笔记：超底层NTFS钩子实现文件保护

tangptr@126.com · 发表于 2015-11-29 03:46:00

各位标题党们可以根据标题得出结论：本文的文件保护只支持Ntfs文件系统。

游客，如果您要查看本帖隐藏内容请回复

tangptr@126.com · 发表于 2015-11-29 05:09:54

本帖最后由 tangptr@126.com 于 2015-11-29 05:11 编辑

顺带补充一下支持到win7的代码。
理论上也支持xp
经测试PCHunter v1.35的普通删除会卡住，强制删除无效。

Tesla.Angela · 发表于 2015-11-29 11:58:41

很好的帖子。
XT的底层删除文件，猜测大概是两种方法：
1.调用NTFS内部函数
2.直接解析NTFS实现删除

andylau004 · 发表于 2015-12-1 09:48:28

回复学习下

惊雷 · 发表于 2015-12-1 18:24:14

试试看看！！！

mysmartid · 发表于 2015-12-2 00:37:56

回复看内容

284406022 · 发表于 2015-12-4 09:51:04

来看看Ntfs

hapi · 发表于 2015-12-18 05:54:30

本帖最后由 hapi 于 2015-12-18 06:03 编辑

没有细看，但是看懂了手法是change call xxxx的地址
对楼主反汇编佩服，自己用ida看不到就放弃，没想到楼主又用windbg上。

软绵绵 · 发表于 2015-12-18 08:01:16

回复学习下

jie471043191 · 发表于 2015-12-23 14:23:20

用不上，支持下

帐号		自动登录	找回密码
密码			加入我们