编写驱动拦截NT的API实现隐藏文件目录(代码)

最新推荐文章于 2021-04-23 09:51:28 发布
最新推荐文章于 2021-04-23 09:51:28 发布
阅读量1.4k 收藏
点赞数
分类专栏: C/C++ 驱动

转载地址:http://www.cnblogs.com/qiuyi21/articles/1151923.html

 

pudn上的这个源代码可以使用:http://www.pudn.com/downloads79/sourcecode/windows/vxd/detail305108.html

驱动已经使用WDK编译好了,直接安装就可以,安装好后,用VS2010,或者VS2008编译Test项目,就可以隐藏文件了,不需要改动,代码也很规范,可以好好学习。

 

网上流传的一篇文章《编写驱动拦截NT的API实现隐藏文件目录》,当时我在网上搜索内核级Hook资料时搜索到的,因为自己对驱动程序还是初初接触,所有想按照这篇文章自己弄个简单的驱动出来,测试测试~~~但由于网上流传的这篇文章都丢失了原作者和原出处,有些代码似乎是错的,但自己又不熟悉,难免弄错。参考了其它使用驱动程序Hook的例子(都是Windows 2000 DDK的),最终编译了一个驱动出来,马上安装进自己的系统里(Windows XP Professional SP2),执行[net start "驱动名"],噢,系统立即蓝屏挂掉了!!经过一段时间的驱动程序编写研究,终于写成功拦截NT的API实现隐藏文件目录了,也知道了一点就是Windows XP之后的操作系统的SSDT都已经写保护,Hook SSDT时不可以直接改写SSDT。我的代码如下,由于水平有限,难免会有错误,请多多指教。

 

C 语言代码,用WDK编译

 

#include <ntddk.h>
 
#define FILE_DEVICE_NTHIDEFILES    0x8000
 #define NTHIDEFILES_IOCTL_BASE    0x800
 
#define CTL_CODE_NTHIDEFILES(i) CTL_CODE(FILE_DEVICE_NTHIDEFILES, NTHIDEFILES_IOCTL_BASE+i, METHOD_BUFFERED, FILE_ANY_ACCESS)
 #define IOCTL_NTHIDEFILES_HELLO    CTL_CODE_NTHIDEFILES(0)
 
#define NTHIDEFILES_DEVICE_NAME     L"\\Device\\NtHideFiles"
 #define NTHIDEFILES_DOS_DEVICE_NAME L"\\DosDevices\\NtHideFiles"
 
#define dprintf if (DBG) DbgPrint
 #define nprintf DbgPrint
 
typedef struct _DEVICE_EXTENSION
 {
     ULONG StateVariable;
 } DEVICE_EXTENSION, *PDEVICE_EXTENSION;
 
typedef struct _FILE_BOTH_DIR_INFORMATION
 {
     ULONG NextEntryOffset;
     ULONG FileIndex;
     LARGE_INTEGER CreationTime;
     LARGE_INTEGER LastAccessTime;
     LARGE_INTEGER LastWriteTime;
     LARGE_INTEGER ChangeTime;
     LARGE_INTEGER EndOfFile;
     LARGE_INTEGER AllocationSize;
     ULONG FileAttributes;
     ULONG FileNameLength;
     ULONG EaSize;
     CCHAR ShortNameLength;
     WCHAR ShortName[12];
     WCHAR FileName[1];
 } FILE_BOTH_DIR_INFORMATION, *PFILE_BOTH_DIR_INFORMATION;
 
#pragma pack(1)
 typedef struct _SERVICE_DESCRIPTOR_ENTRY
 {
     unsigned int * ServiceTableBase;
     unsigned int * ServiceCounterTableBase;
     unsigned int NumberOfServices;
     unsigned char * ParamTableBase;
 } SERVICE_DESCRIPTOR_ENTRY, *PSERVICE_DESCRIPTOR_ENTRY;
 #pragma pack()
 
// ZwQueryDirectoryFile 的原型
 typedef NTSTATUS (NTAPI *PFN_ZwQueryDirectoryFile)(
     IN HANDLE hFile,
     IN HANDLE hEvent OPTIONAL,
     IN PIO_APC_ROUTINE IoApcRoutine OPTIONAL,
     IN PVOID IoApcContext OPTIONAL,
     OUT PIO_STATUS_BLOCK pIoStatusBlock,
     OUT PVOID FileInformationBuffer,
     IN ULONG FileInformationBufferLength,
     IN FILE_INFORMATION_CLASS FileInfoClass,
     IN BOOLEAN bReturnOnlyOneEntry,
     IN PUNICODE_STRING PathMask OPTIONAL,
     IN BOOLEAN bRestartQuery);
 
NTSYSAPI
 NTSTATUS
 NTAPI
 ZwQueryDirectoryFile(
     IN HANDLE hFile,
     IN HANDLE hEvent OPTIONAL,
     IN PIO_APC_ROUTINE IoApcRoutine OPTIONAL,
     IN PVOID IoApcContext OPTIONAL,
     OUT PIO_STATUS_BLOCK pIoStatusBlock,
     OUT PVOID FileInformationBuffer,
     IN ULONG FileInformationBufferLength,
     IN FILE_INFORMATION_CLASS FileInfoClass,
     IN BOOLEAN bReturnOnlyOneEntry,
     IN PUNICODE_STRING PathMask OPTIONAL,
     IN BOOLEAN bRestartQuery);
 
NTSTATUS HookZwQueryDirectoryFile(
     IN HANDLE hFile,
     IN HANDLE hEvent OPTIONAL,
     IN PIO_APC_ROUTINE IoApcRoutine OPTIONAL,
     IN PVOID IoApcContext OPTIONAL,
     OUT PIO_STATUS_BLOCK pIoStatusBlock,
     OUT PVOID FileInformationBuffer,
     IN ULONG FileInformationBufferLength,
     IN FILE_INFORMATION_CLASS FileInfoClass,
     IN BOOLEAN bReturnOnlyOneEntry,
     IN PUNICODE_STRING PathMask OPTIONAL,
     IN BOOLEAN bRestartQuery);
 
__declspec(dllimport) SERVICE_DESCRIPTOR_ENTRY KeServiceDescriptorTable;
 
// 保存原 ZwQueryDirectoryFile 函数指针
 PFN_ZwQueryDirectoryFile OriginalZwQueryDirectoryFile = NULL;
 
PMDL g_pmdlSystemCall = NULL;
 PVOID *MappedSystemCallTable = NULL;
 BOOLEAN g_bHooked = FALSE;
 
#define SYSCALL_INDEX(_Function)              *(PULONG)((PUCHAR)_Function + 1)
 #define SYSTEMSERVICE(_Function)              KeServiceDescriptorTable.ServiceTableBase[SYSCALL_INDEX(_Function)]
 #define HOOK_SYSCALL(_Function, _Hook, _Orig) _Orig = (PVOID)InterlockedExchange((PLONG)&MappedSystemCallTable[SYSCALL_INDEX(_Function)], (LONG)_Hook)
 #define UNHOOK_SYSCALL(_Function, _Orig)      InterlockedExchange((PLONG)&MappedSystemCallTable[SYSCALL_INDEX(_Function)], (LONG)_Orig)
 
NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath);
 NTSTATUS DispatchCreate(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp);
 NTSTATUS DispatchClose(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp);
 NTSTATUS DispatchDeviceControl(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp);
 VOID DriverUnload(IN PDRIVER_OBJECT DriverObject);
 PCWSTR GetProcessFullName();
 
#ifdef ALLOC_PRAGMA
 #pragma alloc_text(INIT, DriverEntry)
 #pragma alloc_text(PAGE, DispatchCreate)
 #pragma alloc_text(PAGE, DispatchClose)
 #pragma alloc_text(PAGE, DispatchDeviceControl)
 #pragma alloc_text(PAGE, DriverUnload)
 #endif // ALLOC_PRAGMA
 
#define BASE_PROCESS_PEB_OFFSET                   0x1B0
 #define BASE_PEB_PROCESS_PARAMETER_OFFSET         0x010
 #define BASE_PROCESS_PARAMETER_FULL_IMAGE_NAME    0x03C
 #define W2003_BASE_PROCESS_PEB_OFFSET             0x190
 #define W2003_BASE_PROCESS_PEB_OFFSET_SP1         0x1A0
 #define W2003_BASE_PROCESS_PEB_OFFSET_SP2         W2003_BASE_PROCESS_PEB_OFFSET_SP1
 #define VISTA_BASE_PROCESS_PEB_OFFSET             0x188
 
PCWSTR GetProcessFullName()
 {
     NTSTATUS status    = -1;
     ULONG    dwAddress = 0;
     PCWSTR   lpszTemp  = NULL;
     RTL_OSVERSIONINFOEXW osVerInfo;
 
    dwAddress = (ULONG)PsGetCurrentProcess();
     if (dwAddress == 0 || dwAddress == (ULONG)-1)
         return NULL;
 
    RtlZeroMemory(&osVerInfo, sizeof(RTL_OSVERSIONINFOEXW));
     osVerInfo.dwOSVersionInfoSize = sizeof(RTL_OSVERSIONINFOEXW);
 
    status = RtlGetVersion((PRTL_OSVERSIONINFOW)&osVerInfo);
     if (!NT_SUCCESS(status))
         return NULL;
 
    // 目前只支持 Windows 2000/XP/2003/Vista
     if (osVerInfo.dwMajorVersion < 5 || osVerInfo.dwMinorVersion > 2)
         return NULL;
 
    // 取得PEB,不同平台的位置是不同的
     if (osVerInfo.dwMajorVersion == 5)
     {
         if (osVerInfo.dwMinorVersion < 2)    // 2000   0X0500       XP 0X0501
         {
             dwAddress += BASE_PROCESS_PEB_OFFSET;
         }
         else if (osVerInfo.dwMinorVersion == 2)    // 2003   0X0502
         {
             if (osVerInfo.wServicePackMajor == 0)    // No Service Pack
                 dwAddress += W2003_BASE_PROCESS_PEB_OFFSET;
             else if (osVerInfo.wServicePackMajor < 3)    // Service Pack 1 & 2
                 dwAddress += W2003_BASE_PROCESS_PEB_OFFSET_SP1;
         }
     }
     else    // Vista   0X0600
     {
         dwAddress += VISTA_BASE_PROCESS_PEB_OFFSET;
     }
 
    if ((dwAddress = *(PULONG)dwAddress) == 0)
         return NULL;
 
    // 通过PEB取得RTL_USER_PROCESS_PARAMETERS
     dwAddress += BASE_PEB_PROCESS_PARAMETER_OFFSET;
     if ((dwAddress = *(PULONG)dwAddress) == 0)
         return NULL;
 
    // 在RTL_USER_PROCESS_PARAMETERS->ImagePathName保存了路径,偏移为0x038
     dwAddress += BASE_PROCESS_PARAMETER_FULL_IMAGE_NAME;
     if ((dwAddress = *(PULONG)dwAddress) == 0)
         return NULL;
 
    // [10/14/2006]
     lpszTemp = (PCWSTR)dwAddress;
     if (wcslen(lpszTemp) > 4)
     {
         if (lpszTemp[0] == L'\\' && 
             (lpszTemp[1] == L'?' || lpszTemp[1] == L'\\') && 
             lpszTemp[2] == L'?' && 
             lpszTemp[3] == L'\\')
         {
             dwAddress += 4 * sizeof(WCHAR);
         }
     }
 
    return (PCWSTR)dwAddress;
 }
 
NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)
 {
     NTSTATUS       status = STATUS_SUCCESS;
     UNICODE_STRING ntDeviceName;
     UNICODE_STRING dosDeviceName;
     PDEVICE_OBJECT deviceObject = NULL;
     BOOLEAN        fSymbolicLink = FALSE;
 
    dprintf("[NtHideFiles] DriverEntry: %wZ\n", RegistryPath);
 
    RtlInitUnicodeString(&ntDeviceName, NTHIDEFILES_DEVICE_NAME);
 
    status = IoCreateDevice(
         DriverObject,
         sizeof(DEVICE_EXTENSION),    // DeviceExtensionSize
         &ntDeviceName,                // DeviceName
         FILE_DEVICE_NTHIDEFILES,    // DeviceType
         0,                            // DeviceCharacteristics
         TRUE,                        // Exclusive
         &deviceObject                // [OUT]
         );
 
    if (!NT_SUCCESS(status))
         goto __failed;
 
    RtlInitUnicodeString(&dosDeviceName, NTHIDEFILES_DOS_DEVICE_NAME);
 
    status = IoCreateSymbolicLink(&dosDeviceName, &ntDeviceName);
 
    if (!NT_SUCCESS(status))
         goto __failed;
 
    fSymbolicLink = TRUE;
 
    DriverObject->MajorFunction[IRP_MJ_CREATE]         = DispatchCreate;
     DriverObject->MajorFunction[IRP_MJ_CLOSE]          = DispatchClose;
     DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = DispatchDeviceControl;
     DriverObject->DriverUnload                         = DriverUnload;
 
    // Map the memory into our domain to change the permissions on the MDL
     g_pmdlSystemCall = IoAllocateMdl(KeServiceDescriptorTable.ServiceTableBase, 
         KeServiceDescriptorTable.NumberOfServices * 4, 
         FALSE, FALSE, NULL);
 
    if (g_pmdlSystemCall == NULL)
     {
         status = STATUS_UNSUCCESSFUL;
         goto __failed;
     }
 
    MmBuildMdlForNonPagedPool(g_pmdlSystemCall);
     // Change the flags of the MDL
     g_pmdlSystemCall->MdlFlags = g_pmdlSystemCall->MdlFlags | MDL_MAPPED_TO_SYSTEM_VA;
     MappedSystemCallTable = MmMapLockedPages(g_pmdlSystemCall, KernelMode);
 
    // HOOK ZwQueryDirectoryFile 并保存原 ZwQueryDirectoryFile 函数地址
     HOOK_SYSCALL(ZwQueryDirectoryFile, HookZwQueryDirectoryFile, OriginalZwQueryDirectoryFile);
     g_bHooked = TRUE;
 
    if (NT_SUCCESS(status))
         return status;
 
__failed:
 
    if (fSymbolicLink)
         IoDeleteSymbolicLink(&dosDeviceName);
 
    if (deviceObject)
         IoDeleteDevice(deviceObject);
 
    return status;
 }
 
NTSTATUS DispatchCreate(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)
 {
     NTSTATUS status = STATUS_SUCCESS;
 
    Irp->IoStatus.Information = 0;
 
    Irp->IoStatus.Status = status;
     IoCompleteRequest(Irp, IO_NO_INCREMENT);
 
    return status;
 }
 
NTSTATUS DispatchClose(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)
 {
     NTSTATUS status = STATUS_SUCCESS;
 
    Irp->IoStatus.Information = 0;
 
    Irp->IoStatus.Status = status;
     IoCompleteRequest(Irp, IO_NO_INCREMENT);
 
    return status;
 }
 
NTSTATUS DispatchDeviceControl(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)
 {
     NTSTATUS           status = STATUS_SUCCESS;
     PIO_STACK_LOCATION irpStack;
     PVOID              ioBuf;
     ULONG              inBufLength, outBufLength;
     ULONG              ioControlCode;
 
    irpStack = IoGetCurrentIrpStackLocation(Irp);
 
    Irp->IoStatus.Information = 0;
 
    //
     // Get the pointer to the input/output buffer and it's length
     //
 
    ioBuf = Irp->AssociatedIrp.SystemBuffer;
     inBufLength = irpStack->Parameters.DeviceIoControl.InputBufferLength;
     outBufLength = irpStack->Parameters.DeviceIoControl.OutputBufferLength;
     ioControlCode = irpStack->Parameters.DeviceIoControl.IoControlCode;
 
    switch (ioControlCode)
     {
     case IOCTL_NTHIDEFILES_HELLO:
         break;
     default:
         status = STATUS_INVALID_PARAMETER;
         break;
     }
 
    //
     // DON'T get cute and try to use the status field of
     // the irp in the return status.  That IRP IS GONE as
     // soon as you call IoCompleteRequest.
     //
 
    Irp->IoStatus.Status = status;
     IoCompleteRequest(Irp, IO_NO_INCREMENT);
 
    //
     // We never have pending operation so always return the status code.
     //
 
    return status;
 }
 
VOID DriverUnload(IN PDRIVER_OBJECT DriverObject)
 {
     UNICODE_STRING dosDeviceName;
 
    // UnHook ZwQueryDirectoryFile
     if (g_bHooked && OriginalZwQueryDirectoryFile != NULL)
         UNHOOK_SYSCALL(ZwQueryDirectoryFile, OriginalZwQueryDirectoryFile);
 
    if (g_pmdlSystemCall != NULL)
     {
         MmUnmapLockedPages(MappedSystemCallTable, g_pmdlSystemCall);
         IoFreeMdl(g_pmdlSystemCall);
     }
 
    //
     // Delete the symbolic link
     //
 
    RtlInitUnicodeString(&dosDeviceName, NTHIDEFILES_DOS_DEVICE_NAME);
 
    IoDeleteSymbolicLink(&dosDeviceName);
 
    //
     // Delete the device object
     //
 
    IoDeleteDevice(DriverObject->DeviceObject);
 
    dprintf("[NtHideFiles] unloaded\n");
 }
 
NTSTATUS HookZwQueryDirectoryFile(
     IN HANDLE hFile,
     IN HANDLE hEvent OPTIONAL,
     IN PIO_APC_ROUTINE IoApcRoutine OPTIONAL,
     IN PVOID IoApcContext OPTIONAL,
     OUT PIO_STATUS_BLOCK pIoStatusBlock,
     OUT PVOID FileInformationBuffer,
     IN ULONG FileInformationBufferLength,
     IN FILE_INFORMATION_CLASS FileInfoClass,
     IN BOOLEAN bReturnOnlyOneEntry,
     IN PUNICODE_STRING PathMask OPTIONAL,
     IN BOOLEAN bRestartQuery)
 {
     NTSTATUS rc = STATUS_SUCCESS;
     ANSI_STRING ansiFileName, ansiDirName, HideDirFile;
     UNICODE_STRING uniFileName;
     PCWSTR pProcPath = NULL;
 
    // 初始化要过虑的文件名,大写形式
     RtlInitAnsiString(&HideDirFile, "WAR3.EXE");
 
    pProcPath = GetProcessFullName();
     DbgPrint("[NtHideFiles] GetProcessFullName: %ws\n", pProcPath == NULL ? L"<null>" : pProcPath);
 
    // 执行真正的 ZwQueryDirectoryFile 函数
     rc = OriginalZwQueryDirectoryFile(
         hFile, 
         hEvent, 
         IoApcRoutine,
         IoApcContext,
         pIoStatusBlock,
         FileInformationBuffer,
         FileInformationBufferLength,
         FileInfoClass,
         bReturnOnlyOneEntry,
         PathMask,
         bRestartQuery);
 
    // 如果执行成功,而且 FILE_INFORMATION_CLASS 的值为 FileBothDirectoryInformation,我们就进行处理,过滤
     if (NT_SUCCESS(rc) && FileInfoClass == FileBothDirectoryInformation)
     {
         // 把执行结果赋给 pFileInfo
         PFILE_BOTH_DIR_INFORMATION pFileInfo = (PFILE_BOTH_DIR_INFORMATION)FileInformationBuffer;
         PFILE_BOTH_DIR_INFORMATION pLastFileInfo = NULL;
         BOOLEAN bLastOne = FALSE;
         
         // 循环检查
         do
         {
             bLastOne = !pFileInfo->NextEntryOffset;
             RtlInitUnicodeString(&uniFileName, pFileInfo->FileName);
             RtlUnicodeStringToAnsiString(&ansiFileName, &uniFileName, TRUE);
             RtlUnicodeStringToAnsiString(&ansiDirName, &uniFileName, TRUE);
             RtlUpperString(&ansiFileName, &ansiDirName);
             
             // 打印结果,用 debugview 可以查看打印结果
             //dprintf("ansiFileName :%s\n", ansiFileName.Buffer);
             //dprintf("HideDirFile :%s\n", HideDirFile.Buffer);
             
             // 开始进行比较,如果找到了就隐藏这个文件或者目录
             if (RtlCompareMemory(ansiFileName.Buffer, HideDirFile.Buffer, HideDirFile.Length) == HideDirFile.Length)
             {
                 dprintf("This is HideDirFile!\n");
 
                if (bLastOne)
                 {
                     if (pFileInfo == (PFILE_BOTH_DIR_INFORMATION)FileInformationBuffer)
                         rc = STATUS_NO_MORE_FILES;    // 隐藏文件或者目录;
                     else
                         pLastFileInfo->NextEntryOffset = 0;
 
                    break;
                 }
                 else    // 指针往后移动
                 {
                     int iPos = (ULONG)pFileInfo - (ULONG)FileInformationBuffer;
                     int iLeft = (ULONG)FileInformationBufferLength - iPos - pFileInfo->NextEntryOffset;
                     RtlCopyMemory((PVOID)pFileInfo, (PVOID)((PCHAR)pFileInfo + pFileInfo->NextEntryOffset), (ULONG)iLeft);
                     continue;
                 }
             }
             
             pLastFileInfo = pFileInfo;
             pFileInfo = (PFILE_BOTH_DIR_INFORMATION)((PCHAR)pFileInfo + pFileInfo->NextEntryOffset);
         } while (!bLastOne);
         
         RtlFreeAnsiString(&ansiDirName);
         RtlFreeAnsiString(&ansiFileName);
     }
 
    return rc;
 }



 

forever1dreamsxx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
编写WDM驱动程序,拦截API实现隐藏文件目录的功能
08-02
WDM编写驱动拦截NTAPI实现隐藏文件目录.txt
文件过滤驱动实现目录重定向(三)
fanxiushu的专栏
03-30 2990
Wrote By Fanxiushu   2015-03-30,引用或转载请注明原始作者。 接上文。 因为整个驱动结构采用把所有数据转发到应用层来处理的, 所以需要在应用层处理各种文件请求,才能最终实现目录重定向 。  文件的各种请求是非常多的,现总结一下需要发送到应用层处理的请求包括: 1,CREATE 文件打开创建请求 ,这个请求在驱动收到 IRP_MJ_CREATE触发 2,
Minifilter 拦截FileMapping IO事件
zj510的专栏
12-18 2884
Minifilter 拦截FileMapping IO事件IO类型Minifilter拦截FileMapping拦截结论 IO类型 在Windows上一般常见的两种IO: 普通IO, 如通过ReadFile,WriteFile等Windows API进行读写 FileMapping,通过CreateFile打开一个文件,然后通过CreateFileMapping创建FileMapping对象,通...
File System Minifilter Drivers(文件系统微型过滤驱动)入门
aguchu2119的博客
12-25 629
问题: 公司之前有一套文件过滤驱动,但是在实施过程中经常出现问题,现在交由我维护。于是在边看代码的过程中,一边查看官方资料,进行整理。 这套文件过滤驱动的目的只要是根据应用层下发的策略来控制对某些特定文件的控制,例如根据后缀名来决定是否允许查看,是否允许查看指定目录啊之类的功能。 介绍: MSDN上对可安装的文件系统驱动介绍http://msdn.microso...
键盘过滤驱动之IRP劫持
hutao1101175783的专栏
04-23 612
参考资料: [1] 《Rootkits——Windows内核的安全与防护》 [2]让一切输入都难逃法眼(驱动级键盘过滤钩子) 本文主要介绍通过劫持IRP(IRP_MJ_READ)实现键盘过滤驱动的基本方法。算是学习总结吧。 这里简单地列举了几个需要注意的地方: [1] 由于需要动态卸载驱动程序,所以要挂接KeyboardClass0。 [2] 键盘过滤驱动工作在异步模式。为了得到一个按键操作,首先会发送一个IRP(IRP_MJ_READ)到驱动的设备栈,键盘物理驱动收到这个IRP后会一直保持为pend.
微过滤(minifilter)驱动实现文件隐藏增强版
fangshy的专栏
11-10 1137
微过滤驱动主要用于安全隔离盒累产品,通过收集资料,和各位高手的文章,具有参考意义的的文章主要输入下 看雪论套:https://bbs.pediy.com/thread-226174.htm 是一篇很有质量的文章,基本逻辑已经实现,入门级的如何新建工程,编译,签名与安装,可以参考其他教程,这里只把实践重遇到的问题进行总结与给出解决方案。现在先总结问题: 问题1:设置为保护,仍然可以删除文件和目录; 问题2、保护状态仍然可以通过鼠标右键新建文件夹与其他文件,只是内容为空,0字节大小; 问题3、发现目录
HideProcess完结篇.zip_c++ 进程隐藏_c++隐藏进程_隐藏进程_隐藏驱动_驱动隐藏进程
07-15
4. **驱动隐藏**:更深层次的隐藏方法是编写驱动程序,驱动可以直接与操作系统内核交互。通过驱动,可以在系统层面上隐藏进程,使其不被常规的进程枚举函数如`EnumProcesses`和`OpenProcess`发现。 在压缩包内的...
WIN2K-NT-XP-监视文件系统过滤驱动程序的驱动程序原代码
10-30
例如,`ntddk.h`包含基本的内核API,`ntstatus.h`定义了NT状态代码,而`IFSDDK.inc`则包含了文件系统驱动开发的相关定义。 4. `MAKEFILE`:构建脚本,用于编译和链接源代码,生成可执行或可加载的驱动程序文件。 5...
Win2000下系统进程隐藏代码 .rar_进程隐藏
最新发布
09-22
标题所提到的"Win2000下系统进程隐藏代码 .rar_进程隐藏"即为解决这一需求的技术实现。这个压缩包包含了实现这一功能的代码和相关资料,让我们深入探讨一下这个主题。 首先,我们要理解Windows 2000的任务管理器是...
文件系统驱动开发的文档资料(IFS+DDK)
01-12
例如,可以使用 ZwQueryDirectoryFile 或 NtQueryDirectoryFile API 来枚举文件系统中的目录和文件。这些函数允许驱动程序查询指定目录下的所有文件,从而获取系统路径。此外,也可以通过解析卷和文件对象来获取路径...
C#对API Windows文件文件夹目录
02-26
做为程序员,我们需要了解API从字面上了解便是编程接口,因此,做为开发者,需要了解的只是API的使用方法.
minifilter实现文件隐藏,很全,有源代码
04-20
里面是用windows驱动驱动的minifilter框架实现的文件隐藏功能,里面有六个条目,前两个条目分别是驱动层和应用层的源代码;接下来的两个文件时应用层的文件(一个是配置文件,一个是exe应用层文件),InstMiniDrv是加载minifilter驱动的文件,最后一个是生成的驱动文件,ps(以上文件在启动时都要以管理员权限启动,不然会失败,因为驱动的加载要用管理员权限才行)
miniFilter(所有框架代码以及对应的PPT资料,可以直接拿来进行修改即可完成各种驱动)
07-24
miniFilter(所有框架代码以及对应的PPT资料,可以直接拿来进行修改即可完成各种驱动)
FileFilter-文件隐藏.rar
08-28
基于minifilter的文件隐藏 已测试过 R0与R3代码.. 【注意下载完进行评论时,要选择评论框上面的星级,这样减掉的分不仅能原数返回,而且还能多赠1分】
驱动用MiniFilter来隐藏指定类型的文件.rar
09-10
驱动用MiniFilter来隐藏指定类型的文件.rar
用minifilter实现文件隐藏
feixi7358的博客
10-16 1530
我发到看雪上了   https://bbs.pediy.com/thread-226174.htm
DDK中对IRP_MJ_CREATE的描述
myworldbig的专栏
07-24 5587
IRP_MJ_CREATE 参数:文件系统驱动或者文件过滤驱动调用IoGetCurrentIrpStackLocation来得到属于自己的站单元指针,下文中表示为IrpSp,(IRP表示为Irp。)下列信息是驱动程序在处理创建请求是可以使用的:DeviceObject 设备对象指
Windows文件系统过滤驱动开发详解
文件和目录的生成、打开、关闭和删除等基本操作也得到了详尽的解释,这些操作的控制点是实现文件系统过滤的主要目标。 教程还讨论了路径过滤的实现,这是对特定文件或目录进行拦截的关键。为了避免驱动自身处理过程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值