文件保护
最近想研究文件保护,我发现兵刃之类的ark软件的文件检测相当强大,过滤驱动的隐藏,文件内核hook隐藏保护,被过的一塌糊涂,irp占坑大法倒是可以,可是如果自己需要访问文件需要内核频繁打开关闭文件,大家有什么好的思路 ,交流一下,多谢了 NTFS的数据流隐藏文件过不了XT。据ZZZians说过XT的文件保护可在Ring3实现,具体如何你亲自问他(本网站最菜的人)吧。 1.简单点的HOOK ZwQueryDirectoryFile(文件隐藏)
2.FSD HOOK IRP(隐藏或保护)
3.据说有一种东西叫做数据流……可惜我没研究过……(隐藏。。也算保护。。)
这几种方式除了第三种我都试过了 不行 XT直接和fsd通信,并且是真实的fsd 不过谢谢大家的关注 其实irp文件占坑可以实现保护,xt之类的软件都可以突破,不过如果访问文件的话,需要自己关闭文件,这样频繁访问频繁关闭,容易出问题。不过winhex直接在ring3可以抹掉扇区,直接ko了,哈哈 直接访问扇区那就木有办法了吧
除非还能在系统<-->硬盘这最后一层的IO指令上再拦截一下..... 磁盘过滤保护,但是对于目录保护就扯淡了 ,他不是独占扇区 ....
貌似NTFS的文件保护可以Hook那啥ntfs!xxx的,具体函数看ntfs的源码 = =
最牛x的办法是自己做个文件系统= =(喂,不大可能吧) 稳定的文件保护就用文件过滤驱动吧,支持Windows 7 x64。
页:
[1]