Tesla.Angela 发表于 2014-6-2 19:15:29

《WIN64驱动教程》补充[2]:干掉所有sfilter和MiniFilter

作者:Tesla.Angela

在教程里只有干掉MiniFilter的代码,但是文件系统的过滤器,除了MiniFilter,还有古老的“文件系统过滤驱动”。但实际上,MiniFilter是基于传统过滤驱动的,只要把文件系统上attach的所有设备清零,那么所有的sfilter和MiniFilter都失效了。以下代码执行的效果是:可以直接删除卡巴斯基、360等杀毒软件的文件(在WIN7X64上测试)。代码支持32位和64位系统。
**** Hidden Message *****

sunsan 发表于 2014-9-18 22:14:18

已经搞定了,谢谢这份代码

5ak 发表于 2024-1-1 09:06:11

学习了

renminbi 发表于 2024-1-2 09:14:41

把文件系统上attach的所有设备清零,应该可以了

sam7894604 发表于 2024-1-3 21:30:55

学习了

zf0815zj 发表于 2024-1-3 22:17:12

学习了

委员长 发表于 2024-1-6 17:46:05

感谢大佬分享

376408384 发表于 2024-1-9 09:58:19

本帖最后由 376408384 于 2024-1-9 10:31 编辑

__int64 __fastcall RtlGetNtVersionNumbers(_DWORD *a1, _DWORD *a2, _DWORD *a3) 不知道用这个函数行不行系统是通过peb获取的

376408384 发表于 2024-1-9 10:28:01

376408384 发表于 2024-1-9 09:58
__int64 __fastcall RtlGetNtVersionNumbers(_DWORD *a1, _DWORD *a2, _DWORD *a3) 不知道用这个函数行不行 ...

不好意思发错帖子~!

ruin1990 发表于 2024-1-16 14:59:13

学习学习,非常感谢分享

baggiowangyu 发表于 2024-1-26 13:57:19

2024年补充学习

sound 发表于 2024-2-7 22:23:37

学习一下

Undefined 发表于 2024-2-15 08:04:38

回复查看,谢谢大佬分享

nj001 发表于 2024-3-12 16:22:36

學習一下

yimingqpa 发表于 2024-3-28 17:04:28

感谢楼主,主要想看看隐藏内容。

WordStar 发表于 2024-10-25 14:08:30

学习了

wst5898 发表于 2025-1-25 15:08:11

谢谢这份代码

IBinary 发表于 2025-6-23 18:51:01

学习下咋Detach. 看网上都是移除minifilter句柄.
页: [1]
查看完整版本: 《WIN64驱动教程》补充[2]:干掉所有sfilter和MiniFilter