杀毒软件的奥秘

最新推荐文章于 2020-08-12 11:20:50 发布
最新推荐文章于 2020-08-12 11:20:50 发布
阅读量770 收藏
点赞数
分类专栏: ·底层技术类 文章标签: 杀毒软件 struct path 加密 ddk file
        市面上所有号称"虚拟机","防火墙"的实时监控杀毒软件无一不是使用的IFSHOOK技术.但是同时也有一些朋友不断写MAIL给我打听如何实现读写的监控.下面给出用VTOOLSD写的代码.也就是所有实时杀毒软件的奥秘.同时,很多拦截文件操作的软件,例如对目录加密,文件加密等,也采用了雷同的技术.
由于代码十分简单,不分析了.

//=============================================================================
//
//By Lu Lin 2000.5.10
// Apply with VtoolsD 3.01
// DDK version is available if requested.
//Abstract:
// Install a IFS hook, monitoring any read and write access
//
//=============================================================================

// IFSHOOK.c - main module for IFSHOOK

#define   DEVICE_MAIN
#include  "ifshook.h"
#undef    DEVICE_MAIN

//typedef EventHdl(pevent pev,pioreq pir);

typedef struct _Monitored_Files{
 struct _Monitored_Files *pNext_Monitored_Files;    //pointer to next struct
 struct _Monitored_Files *pPre_Monitored_Files;      //pointer to previous struct
 int sfn;//system file number
 int open_count;
 char path[260];     //ansi path name
}_Monitored_Files,*pMonitored_Files;

//
//Declare virtual device
//
Declare_Virtual_Device(IFSHOOK)

_Monitored_Files Monitored_Files;
ppIFSFileHookFunc PrevHook;

DefineControlHandler(SYS_VM_INIT, OnSysVMInit);
DefineControlHandler(SYS_DYNAMIC_DEVICE_INIT, OnSysDynamicDeviceInit);
DefineControlHandler(SYS_DYNAMIC_DEVICE_EXIT, OnSysDynamicDeviceExit);
DefineControlHandler(SYS_VM_TERMINATE, OnSysVMTerminate);

PCHAR ConvertPath( int drive, path_t ppath, PCHAR fullpathname )
{
    int  i = 0;
    _QWORD  result;

    //
    // Stick on the drive letter if we know it.
    //
    if( drive != 0xFF ) {

        fullpathname[0] = drive+'A'-1;
        fullpathname[1] = ':';
        i = 2;
    }
    UniToBCSPath( &fullpathname[i], ppath->pp_elements, 260 , BCS_WANSI, &result );
    return( fullpathname );
}

pMonitored_Files IsFileOpened(int i){
 pMonitored_Files p=&Monitored_Files;

 while (p){
  if (i==p->sfn){
   return p;
  }
  p=p->pNext_Monitored_Files;
 }
 return 0;
}

BOOL ControlDispatcher(
 DWORD dwControlMessage,
 DWORD EBX,
 DWORD EDX,
 DWORD ESI,
 DWORD EDI,
 DWORD ECX)
{
 START_CONTROL_DISPATCH

  ON_SYS_VM_INIT(OnSysVMInit);
  ON_SYS_DYNAMIC_DEVICE_INIT(OnSysDynamicDeviceInit);
  ON_SYS_DYNAMIC_DEVICE_EXIT(OnSysDynamicDeviceExit);

 END_CONTROL_DISPATCH

 return TRUE;
}

int _cdecl MyIfsHook(pIFSFunc pfn, int fn, int Drive, int ResType,
  int CodePage, pioreq pir)
{
 int retvar,i;
 char fullpathname[260];
 _Monitored_Files *FileEntry;
 switch(fn){
  case IFSFN_OPEN:{
   retvar=(*PrevHook)(pfn, fn, Drive, ResType, CodePage, pir);
   ConvertPath( Drive, pir->ir_ppath, fullpathname );
   FileEntry=IsFileOpened(pir->ir_sfn);
   if (FileEntry){
    FileEntry->open_count++;
   }else{
    FileEntry=&Monitored_Files;
    while(1){
     if (FileEntry->pNext_Monitored_Files){
      FileEntry=FileEntry->pNext_Monitored_Files;
     }
     else{
      break;
     }
    }
    FileEntry->pNext_Monitored_Files=/
     HeapAllocate( sizeof(_Monitored_Files),HEAPZEROINIT);
    FileEntry->pNext_Monitored_Files->pPre_Monitored_Files=FileEntry;
    FileEntry=FileEntry->pNext_Monitored_Files;
    FileEntry->sfn=pir->ir_sfn;
    FileEntry->open_count=1;
    memcpy(FileEntry->path,fullpathname,260);
   }
   return retvar;
  }

  case IFSFN_READ:{
   //Do something here,
   //eg. Decrypt the file.
   char *str;
   int j;
   str=pir->ir_data;
   j=pir->ir_length;
   retvar=(*PrevHook)(pfn, fn, Drive, ResType, CodePage, pir);
   FileEntry=IsFileOpened(pir->ir_sfn);
   if (!stricmp("c://test.txt",FileEntry->path)){
    for (i=0;i<j;i++){
     str[i]--;
    }
   }
   return retvar;
  }

  case IFSFN_WRITE:{
   //Do something here
   //eg. Encrypt the file
   FileEntry=IsFileOpened(pir->ir_sfn);
   if (FileEntry){
    if (!stricmp("c://test.txt",FileEntry->path)){
     for (i=0;i<pir->ir_length;i++){
      (((char*)pir->ir_data)[i])++;
     }
    }
   }
   return (*PrevHook)(pfn, fn, Drive, ResType, CodePage, pir);
  }

  case IFSFN_CLOSE:{
   FileEntry=IsFileOpened(pir->ir_sfn);
   if (FileEntry){
    FileEntry->open_count--;
    if (!FileEntry->open_count){
     FileEntry->pPre_Monitored_Files->pNext_Monitored_Files=/
     FileEntry->pNext_Monitored_Files;
     FileEntry->pNext_Monitored_Files->pPre_Monitored_Files=/
      FileEntry->pPre_Monitored_Files;
     HeapFree(FileEntry,0);
     }
   }
   return (*PrevHook)(pfn, fn, Drive, ResType, CodePage, pir);
  }

 }

 return (*PrevHook)(pfn, fn, Drive, ResType, CodePage, pir);
}

BOOL OnSysVMInit(VMHANDLE hVM){
 return OnSysDynamicDeviceInit();
}

BOOL OnSysDynamicDeviceInit()
{
 PrevHook = IFSMgr_InstallFileSystemApiHook(MyIfsHook);
 Monitored_Files.pNext_Monitored_Files=0;
 Monitored_Files.pPre_Monitored_Files=0;
 Monitored_Files.sfn=-1;
 Monitored_Files.open_count=0;
 Monitored_Files.path[0]=0;

 return TRUE;
}

BOOL OnSysDynamicDeviceExit()
{
 IFSMgr_RemoveFileSystemApiHook(MyIfsHook);
 return TRUE;
}

void OnSysVMTerminate(VMHANDLE hVM){
 return OnSysDynamicDeviceExit();
}

xmlscript
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Pix4d精品教程】打开Pix4DMapper时提示Pix4DMapper.exe停止工作的完全解决办法
「 刘一哥与GIS的故事」
04-18 1万+
本文为作者在使用软件时,打开Pix4DMapper时提示Pix4DMapper.exe停止工作的完全解决办法,亲测可用! 目录 一、问题错误提示 二、问题分析及解决方法 一、问题错误提示 打开Pix4DMapper时,提示Pix4DMapper.exe停止工作,错误提示如下: 展开问题详细信息: 二、问题分析及解决方法 第一,该问题跟电脑的联网与否没关系。...
软件质量的“奥秘
02-27
注:下面此文中提到的质量的行政与情感色彩,只是温伯格从心理学的角度揭示和探究组织内管理...“满足客户需求是我们唯一的目标”作为公司的质量方针已经这么多年,可是为什么在软件开发中我们始终还只能不断的喊着
AD无法打开PCB,提示“无法启动此程序,因为计算机中丢失PCTF.DLL。”
Morson35的博客
08-12 2395
AD20正常使用一段时间后,打不开PCB了,原理图可以正常打开。我没有找到直接的解决办法,重新安装后,问题消失。
微软软件研发的奥秘
06-21
《微软软件研发的奥秘:MSF精髓》作者凭借 20多年的软件开发管理和微软服务总部经验,针对微软解决方案框架(MSF)第四版,详细阐述其重要概念:解决方案交付的外部环境、基本原则,团队成员应具备的意识,证明可行的...
编码的奥秘
01-28
编码的奥秘,介绍计算机相关的基础知识,完整版本,带目录。
市面上所有号称"虚拟机","防火墙"的实时监控杀毒软件无一不是使用的IFSHOOK技术.但是同时也有一些朋友不断写MAIL给我打听如何实现读写的监控.下面给出用VTOOLSD写的代码.也就是所有实时杀毒软件奥秘.同时,很多拦截文件操作的软件,例如对目录加
老裴
12-11 1326
//============================================================================= // //By Lu Lin 2000.5.10 // Apply with VtoolsD 3.01 // DDK version is available if requested. //Abstract: // Install a I
Pix4d精品教程】安装Pix4Dmapper时提示“无法启动此程序,因为计算机中丢失api-ms-win-crt-runtime-l1-1-0.dll”完全解决办法
「 刘一哥与GIS的故事」
04-18 8668
Pix4Dmapper系列文章合集: 打开Pix4DMapper时提示Pix4DMapper.exe停止工作的完全解决办法 Pix4DMapper图文安装教程(附安装包下载) Pix4Dmapper完整航测内业操作流程手把手图文教程 目 录 一、问题描述 二、问题分析 三、解决办法 一、问题描述 安装Pix4Dmapper时,提示如下所示的系统错误。无法启动此程序...
Hook技术(五)如何Hook系统中任意服务
我叫王菜鸟
03-15 5860
获取服务&amp;注册 ServiceManager.getService() public static IBinder getService(String name) { try { IBinder service = sCache.get(name); //先从缓存中查看 if (service != null) { ...
企业数字化转型暨数据仓库(数仓)建设方案.pptx
05-06
企业数字化转型暨数据仓库(数仓)建设方案.pptx
2024年中国LED切割灯行业研究报告.docx
05-06
2024年中国LED切割灯行业研究报告
目前世界上最好的机器学习&深度学习&神经网络&图神经网络&卷积网络&多层感知机画图工具&基于PPT
05-06
在当今快速发展的人工智能领域中,一款集成了机器学习、深度学习、神经网络、图神经网络、卷积网络及多层感知机可视化功能的画图工具脱颖而出,成为全球范围内最受欢迎和认可的工具之一。这款工具不仅仅是一个简单的绘图软件,它的设计初衷是为了让复杂的网络结构和算法直观化,从而帮助研究者、学者及开发人员更容易地理解和分享他们的工作。 最令人印象深刻的特色之一是它基于PPT的编辑能力,这允许用户在熟悉的PPT编辑环境中创建、编辑和展示复杂的网络结构。用户可以利用拖拉组件、调整尺寸、修改颜色和形状等功能,无缝地将科研成果或项目展示集成到演示文稿中,极大地提高了工作的效率和表现力。 该工具不仅支持广泛的网络结构和模型,还包含丰富的库和模块,让用户能够轻松自定义和扩展自己的模型。它的用户界面友好、直观,无论是机器学习的新手还是资深研究员,都能快速上手,将精力更多地集中在创新和研究上,而不是图形的绘制和编辑上。 此外,它强大的共享和合作功能,使得团队成员可以实时共享他们的成果,促进了知识的交流和项目的进展。这款工具不仅改善了人工智能领域内部的工作方式,也为更广泛的受众提供了学习和理解复杂算法的窗口。 总
2024年中国B型超声诊断设备行业研究报告.docx
05-06
2024年中国B型超声诊断设备行业研究报告
node-v11.0.0-linux-armv7l.tar.xz
最新发布
05-06
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v10.8.0-darwin-x64.tar.xz
05-06
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
编码的奥秘 epub
10-27
这种编码方式的奥秘在于它的灵活性和可读性。 首先,EPUB使用了一种基于XML的标记语言来编码文本和样式。这种标记语言称为XHTML,它类似于网页的HTML语言。通过使用XHTML,EPUB能够描述出版物的结构、布局和样式,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值