文件保护

jiedengye · 发表于 2010-8-16 10:41:15

最近想研究文件保护，我发现兵刃之类的ark软件的文件检测相当强大，过滤驱动的隐藏，文件内核hook隐藏保护，被过的一塌糊涂，irp占坑大法倒是可以，可是如果自己需要访问文件需要内核频繁打开关闭文件，大家有什么好的思路，交流一下，多谢了

Tesla.Angela · 发表于 2010-8-27 19:13:17

NTFS的数据流隐藏文件过不了XT。
据ZZZians说过XT的文件保护可在Ring3实现，具体如何你亲自问他（本网站最菜的人）吧。

jiedengye · 发表于 2010-8-30 14:11:59

1.简单点的HOOK ZwQueryDirectoryFile（文件隐藏）
2.FSD HOOK IRP（隐藏或保护）
3.据说有一种东西叫做数据流……可惜我没研究过……（隐藏。。也算保护。。）
这几种方式除了第三种我都试过了不行 XT直接和fsd通信，并且是真实的fsd

jiedengye · 发表于 2010-8-30 14:12:18

不过谢谢大家的关注

a33287651 · 发表于 2010-8-30 18:17:30

提示: 作者被禁止或删除内容自动屏蔽

jiedengye · 发表于 2010-8-31 10:07:18

其实irp文件占坑可以实现保护，xt之类的软件都可以突破，不过如果访问文件的话，需要自己关闭文件，这样频繁访问频繁关闭，容易出问题。不过winhex直接在ring3可以抹掉扇区，直接ko了，哈哈

马大哈 · 发表于 2010-8-31 15:49:14

直接访问扇区那就木有办法了吧

除非还能在系统<-->硬盘这最后一层的IO指令上再拦截一下.....

jiedengye · 发表于 2010-8-31 16:18:54

磁盘过滤保护，但是对于目录保护就扯淡了，他不是独占扇区

腾袭 · 发表于 2010-9-11 09:31:19

....
貌似NTFS的文件保护可以Hook那啥ntfs!xxx的，具体函数看ntfs的源码 = =
最牛x的办法是自己做个文件系统= =（喂，不大可能吧）

Tesla.Angela · 发表于 2010-9-11 11:33:13

稳定的文件保护就用文件过滤驱动吧，支持Windows 7 x64。

账号		自动登录	找回密码
密码			加入我们