文件隐藏技术(二)

最新推荐文章于 2022-09-22 09:01:45 发布
最新推荐文章于 2022-09-22 09:01:45 发布
阅读量2.2k 收藏 2
点赞数
分类专栏: Windows 文章标签: hook attributes system 汇编 file class
SSDT HOOK实现文件保护

nokyo.blogbus.com

  很久没写点什么了,最近在忙着做一些零碎的程序,过一段儿时间一定放新东西。

  现在手头上的其中一件事情就是帮同学做一个文件保护的毕业设计,考虑再三还是使用SSDT HOOK,因为这个最简单,而且比较稳定,也容易理解。

  提到文件保护,无非就是文件隐藏、文件打开、读写、删除保护等。

  一、文件隐藏

  文件隐藏可以通过HOOK NtQueryDirectoryFile函数来实现,这样可以使得受保护的文件无法在资源管理器之类的文件列表中显示出来。

  这种方法比较困难,一是难以稳定地获得目标文件的完整路径,二是难以稳定地将指定文件从返回的信息链表中删除。

  实际上,如果是需要实现文件保护,我们并不一定需要将文件进行隐藏,因为SSDT HOOK的隐藏效果并不十分理想,无法绕过调用文件系统驱动或磁盘驱动的程序,例如使用冰刃之类的ARK就可以一目了然地看到需要被隐藏的文件。

  综上所述,我们决定放弃对文件的隐藏,专注对文件进行保护。

  二、文件打开保护

  对文件打开主要有两个函数,NtCreateFile和NtOpenFile,通过WRK或反汇编可以看到这两个函数都是直接调用了下层的IoCreateFile,而NtOpenFile并未调用NtCreateFile,因此为了实现文件打开保护,我们必须同时HOOK NtCreateFile、NtOpenFile这两个函数。

  需要注意的是,这两个函数中的FileHandle是传出参数,函数被调用后句柄中才有目标文件的路径信息,但这时候文件已经被打开了,我们已经失去了拦截的时机。

  实际上,在这两个函数中,我们可以不通过句柄获取文件路径信息,而是通过参数中的ObjectAttributes->RootDirectory和ObjectAttributes->ObjectName来获得。如果ObjectAttributes->RootDirectory不为空,则ObjectAttributes->ObjectName表示的是相对路径,否则为完整路径。

  在大多数情况下,ObjectAttributes->RootDirectory都是为空,即ObjectAttributes->ObjectName包含了请求文件的完整路径。

  三、文件读写保护

  一般地,如果我们通过HOOK文件打开函数,应用程序将无法获得受保护文件的句柄,也就无法进行后续的文件读写、文件删除等操作。

  但实际情况并非如此,在系统的system进程中拥有所有的句柄信息,因此用户可以通过调用NtDuplicateObject之类的函数复制获得句柄,因此我们仍然需要HOOK文件读写函数。

  文件读写函数主要有两个,即NtReadFile和NtWriteFile。在这两个函数中我们可以通过FileHandle获得请求文件的路径信息,判断是否需要保护。

  四、文件删除保护

  通过反汇编DeleteFileW可以看到,它们都是调用NtSetInformationFile删除文件的,当函数NtSetInformationFile的参数FileInformationClass值为FileDispositionInformation时,则它将对目标文件设置一个删除标记,这样等该文件的所有句柄被关闭后文件将会被删除。

  因此通过HOOK NtSetInformationFile便可以拦截大多数删除文件过程,但这并不是说NtDeleteFile就没有用处,我们在《The Undocumented Functions》一书中可以看到它对NtDeleteFile的解释如下:

  It's very interesting NT System Call... Normally, file deletion is realised as FileDispositionInformation class in a call to NtSetInformationFile. When you use NtDeleteFile, file will be deleted immediatly after call (system isn't waiting for close last HANDLE to file).

  从上述说明可以看出,如果我们直接调用NtD

eleteFile,目标文件将会被立即删除而不会等到所有句柄都被关闭。通过这个说明我们可以知道,直接调用NtDeleteFile将会绕过对NtSetInformationFile的挂钩,因此我们需要同时HOOK NtDeleteFile。

  这里需要说明一点,有人可能会想要通过HOOK NtDuplicateObject而无需HOOK后面这些众多函数以达到目的,我没试过这种情况,假定它是可行的,但即使在这种情况下同样需要HOOK NtDeleteFile。

  这是因为NtDeleteFile仅有一个POBJECT_ATTRIBUTES参数,它并不像其它函数那样需要一个FileHandle参数,也就是说它不需要句柄,因此我们必须直接挂钩该函数,虽然ring3的API没有调用它,但并不能排除直接调用NtDeleteFile的可能性存在。

  五、总结

  现在总结一下,为了实现文件保护,我们必须HOOK NtCreateFile、NtOpenFile、NtReadFile、NtWriteFile、NtSetInformationFile、NtDeleteFile这几个函数。考虑不周之处还望见谅!

anhkgg
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
文件保护HOOK
yonghengzhimi的专栏
09-15 358
////////////////////////////////////////////////// // HookTermProLib.cpp文件 #include <windows.h> #include "APIHook.h" extern CAPIHook g_TerminateProcess; BOOL WINAPI myDeleteFileA(LPCSTR lpFileName) { int i=1; char num='0'; char FNFromINI[1024]...
hook pte_简单HOOK SSDT实现文件防删除
weixin_42121058的博客
02-23 449
被玩烂了的SSDT,索性就让它更烂吧,没啥技术含量,只是想增进下和驱动的感情,慢慢跟上那帮人的步伐。关于SSDT的描述,推荐看下堕落天才的文章:http://bbs.pediy.com/showthread.php?t=40832。OD跟踪DeleteFile API的执行流程,会大致看到这样的调用:DeleteFileA -> DeleteFileW -> ntdll.ZwSetIn...
SSDT-hook进程隐藏文件隐藏
11-30
Windows内核态SSDT-hook实现进程隐藏文件隐藏,代码很规整,学习内核编程的好例子 -a good example of studying kernel programing or driver developing, SSDT hook
SSDT Hook实现简单的进程隐藏和保护【转载】
afsafs1231的博客
09-27 211
原文链接:http://www.blogfshare.com/ssdthook-hide-protect.html 原文作者:AloneMonkey SSDT Hook实现简单的进程隐藏和保护 AloneMonkey 2014年7月21日 有前面对SSDT的了解之后,如果还有不是很了解的同学,请参考SSDT详解及Win32 API到系统服务描述符表调用的完整过程。...
R0 下 FSD inline Hook 防删除
Rootkit ﹏
09-02 932
<br />/*<br />                By 炉子[0GiNr]<br />                http://hi.baidu.com/breakinglove_<br />                http://0ginr.com<br />*/<br />typedef NTSTATUS (*pfnDrvDispath)(<br />                                  IN PDEVICE_OBJECT        DeviceOb
将小文件隐藏在BMP文件中 .zip_文件隐藏
09-23
文件隐藏技术不仅仅局限于BMP文件,还可以应用于其他类型的数据,如JPEG、PNG等图像文件,甚至音频和视频文件。每种格式都有其特定的嵌入和提取方法,但核心理念是相似的:在不影响原始文件可读性的前提下,隐藏额外...
驱动级文件隐藏技术
03-25
驱动级文件隐藏技术 让你的文件资源深藏电脑之中
隐藏功能设定技术文件.rar
03-30
本压缩包“隐藏功能设定技术文件.rar”提供了一系列PDF教程,帮助用户理解和激活这些隐藏功能。 首先,我们要明白隐藏功能设定技术的核心是编程和刷机。刷隐藏,也就是通过修改车辆的ECU(电子控制单元)软件或使用...
文件隐藏到图片中demo
01-08
"文件隐藏到图片中demo"就是一个关于如何将文件嵌入图片中的示例。这种技术通常被称为数据隐藏或者信息隐藏,它允许用户将敏感数据伪装成看似无害的图片,从而避免被未经授权的人发现。以下是对这个主题的详细解释:...
文件隐藏恢复
03-18
如果您的优盘里的文件被恶意隐藏了,请按如下操作即可恢复: 1、下载本插件 2、复制本插件到您的优盘里 3、双击插件(可以多点几次) 4、用杀毒软件对优盘杀毒
基于IAT hook文件隐藏功能
毕业作品网站
09-22 293
提升本进程权限——> 获取目标进程的 PID——> 获得要注入进程的句柄——> 在远程进程中开辟出一段内存——> 将包含恶意代码的 dll 的名字写入上一步开辟出的内存中——> 在被注入进程中创建新线程加载该 dll——> 卸载注入的 dll。(1)功能:将自己编写的包含有攻击代码的 dll 文件注入到目标进程(本实验选择注入到“cmd.exe”)思路:获得在远程线程中被注入的 Dll 的句柄 —> 卸载 Dll。⑤ 将包含恶意代码的 dll 的名字写入上一步开辟出的内存中。③ 获得要注入进程的句柄。
hook ZwQueryDirectoryFile实现文件隐藏
如鹿渴慕泉水的专栏
05-10 1082
学习了网上《编写驱动拦截NT的API实现隐藏文件目录》这篇文章 参考这篇文章的代码 自己试着写了下 现发出来我调试成功的代码 给需要的朋友们 代码: #include "ntddk.h" typedef BOOLEAN BOOL; typedef unsigned long DWORD; typedef DWORD * PDWORD; typedef unsigned long ULONG;
HOOK 文件保护,隐藏 禁止访问
Play up! 程序人生 ZQC
06-02 4184
三个主要的函数:NtQueryDirectoryFileNtCreateFileNtOpenFile, 其它函数定义未用,保留。   源码.h头文件PathProtect.h: #pragma once #include "APIHook.h" #include "FileInfoDef.h" //typedef用来声明自定义数据类型 typedef NTSTATUS (WINA
Windows内核编程 文件监控(ssdt hook
u013032601的博客
06-23 3685
本文主要针为进行内核编程的一些初学者提供一些错误,如有错误,希望大家能够指出。         这里先简单介绍一下概念。说到SSDT HOOK,可以从MEP技术说起,MEP(即执行路径修改)主旨就是拦截系统函数或相关处理例程,让它们转向我们自己的函数进行处理,这样就能实现过滤参数或者修改目标函数处理结果的目的。而SSDT(即 系统服务描述符表),主要是将位于Ring3的应用API函数和Ring0
利用系统钩子技术隐藏指定的文件文件夹
化外之民的专栏
05-10 1673
由于工作需要实现一个保护文件夹的功能,思路就是拦截API以防止意外删除某个文件夹,不能防止使用DOS命令删除,防删除的功能很容易实现,就是拦截DeleteFileA、DeleteFileW这两个API函数,就是隐藏文件不知道怎么实现,试验了很长时间后才想起(...delete 2006.5.22)。
HOOK API 之修改IAT实现进程隐藏
tian028的博客
03-13 1026
1 .技术与实现 每个调用的 API 函数地址都保存在 IAT 表中。 API 函数调用时,每个输入节( IMPORT SECTION )所指向的 IAT 结构如下图所示。 程序中每个调用API 函数的CALL指令所使用的地址都是相应函数登记在IAT表的地址。所以为了截获API 函数,我们将IAT表中的地址换成用户自己的API PROXY函数地址,这样每个API调用都是先调用用户自己的A...
【SSDT】SSDT hook技术
dr0op's blog
09-07 2154
通过修改此表的函数地址可以对常用Windows函数及API进行Hook,从而实现对一些关心的系统动作进行过滤、监控等目的。在NT4.0 以上的Windpws 操作系统中,默认存在两个系统服务描述表,两个调度表对应两类不同的系统服务。要Hook SSDT表,首选需要这个表是可写的,但是在XP之后的系统都是只读的,有三种方式修改内存保护机制。其中第1位叫做保护属性位,控制着页的读或写属性。如果为0,则只能读/执行。SSDT,IDT(中断描述符表)的页属性在默认情况下只读,可执行,但不能写。例如进程保护(驱动)
C语言在用户模式使用NT函数
u011311291的博客
09-04 2419
C语言要使用NT函数并不像使用库函数那么简单,下面介绍一下使用方法,以NtSetInformationFile为例:#include <windows.h> #include <stdio.h>//因为NtSetInformationFile方法要用到FILE_INFORMATION_CLASS的值,所以这里全部枚举出来 //当然你也可以直接使用1,2,3,这样值代替,只是这样定义以后在后面使用更接
window10文件隐藏源码
最新发布
10-02
在Windows 10中隐藏文件源码有几种方法。一种方法是通过更改文件文件夹的属性来隐藏文件源码。右键单击文件文件夹,然后选择“属性”。在“属性”对话框中,将“隐藏”选项的复选框选择为“是”。然后点击“确定”保存设置。隐藏文件的源码将不再在文件浏览器中显示,但您仍然可以通过直接输入文件文件夹路径来访问它们。 另一种方法是将文件源码压缩为ZIP文件,并将ZIP文件的属性设置为隐藏。要做到这一点,右键单击文件文件夹,然后选择“发送到”,再选择“压缩(压缩的ZIP文件夹)”。然后,右键单击新创建的ZIP文件,并选择“属性”。在“属性”对话框中,将“隐藏”选项的复选框选择为“是”,然后点击“确定”保存设置。文件源码现在被隐藏在ZIP文件中。 还有第三种方法是使用专门的加密工具来隐藏文件源码。这些工具可以将文件源码加密成不可读的形式,并将其保存在指定的位置。只有在正确的密码或密钥被提供的情况下,才能解密和访问文件源码。 无论使用哪种方法,隐藏文件源码都不会永久地保护它们。熟悉计算机系统的用户仍然可能通过一些技术手段来找到和访问隐藏文件源码。要更有效地保护源码,建议使用更强大的加密算法和安全措施,并限制访问权限,以防止未经授权的访问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值