|
|
发表于 2023-12-21 22:50:47
|
显示全部楼层
通过HOOK IRP_MJ_DIRECTORY_CONTROL来实现隐藏文件是最肤浅的文件隐藏方式,ARK如果连这个都检测不出来,那就不可以被称之为ARK了。
ARK检测隐藏文件的方法很多,通常来说是使用“按扇区读取磁盘数据+解析NTFS”的方式。如果只是为了对付MiniFilter,用上述方式都纯属多余,因为绕过MiniFilter的方法太多了。
在XP时代,有个RK用了一种另辟蹊径的办法实现了较为深层次的文件隐藏,以“AK922”作为关键字搜索本论坛,你就可以找到你需要的答案。可惜时过境迁,这个方法在WIN64系统上不一定适用了。 |
|
发表于 2023-12-21 09:29:41
