《WIN64驱动教程》补充[2]：干掉所有sfilter和MiniFilter

Tesla.Angela · 发表于 2014-6-2 19:15:29

作者：Tesla.Angela

在教程里只有干掉MiniFilter的代码，但是文件系统的过滤器，除了MiniFilter，还有古老的“文件系统过滤驱动”。但实际上，MiniFilter是基于传统过滤驱动的，只要把文件系统上attach的所有设备清零，那么所有的sfilter和MiniFilter都失效了。以下代码执行的效果是：可以直接删除卡巴斯基、360等杀毒软件的文件（在WIN7X64上测试）。代码支持32位和64位系统。

游客，如果您要查看本帖隐藏内容请回复

sunsan · 发表于 2014-9-18 22:14:18

已经搞定了，谢谢这份代码

5ak · 发表于 2024-1-1 09:06:11

学习了

renminbi · 发表于 2024-1-2 09:14:41

把文件系统上attach的所有设备清零，应该可以了

sam7894604 · 发表于 2024-1-3 21:30:55

学习了

zf0815zj · 发表于 2024-1-3 22:17:12

学习了

委员长 · 发表于 2024-1-6 17:46:05

感谢大佬分享

376408384 · 发表于 2024-1-9 09:58:19

本帖最后由 376408384 于 2024-1-9 10:31 编辑

__int64 __fastcall RtlGetNtVersionNumbers(_DWORD *a1, _DWORD *a2, _DWORD *a3) 不知道用这个函数行不行系统是通过peb获取的

376408384 · 发表于 2024-1-9 10:28:01

376408384 发表于 2024-1-9 09:58
__int64 __fastcall RtlGetNtVersionNumbers(_DWORD *a1, _DWORD *a2, _DWORD *a3) 不知道用这个函数行不行 ...

不好意思发错帖子~！

ruin1990 · 发表于 2024-1-16 14:59:13

学习学习，非常感谢分享

baggiowangyu · 发表于 2024-1-26 13:57:19

2024年补充学习

sound · 发表于 2024-2-7 22:23:37

学习一下

Undefined · 发表于 2024-2-15 08:04:38

回复查看，谢谢大佬分享

nj001 · 发表于 2024-3-12 16:22:36

學習一下

yimingqpa · 发表于 2024-3-28 17:04:28

感谢楼主，主要想看看隐藏内容。

WordStar · 发表于 2024-10-25 14:08:30

学习了

wst5898 · 发表于 2025-1-25 15:08:11

谢谢这份代码

账号		自动登录	找回密码
密码			加入我们

《WIN64驱动教程》补充[2]：干掉所有sfilter和MiniFilter

点评