文件加密标识 -隐藏文件头的黑客代码

最新推荐文章于 2024-03-16 13:26:01 发布
最新推荐文章于 2024-03-16 13:26:01 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: windows底层核心編程 文章标签: 加密 integer file allocation struct object
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2449825
版权
//This module hooks:
// IRP_MJ_READ, IRP_MJ_WRITE, IRP_MJ_QUERY_INFORMATION,
// IRP_MJ_SET_INFORMATION, IRP_MJ_DIRECTORY_CONTROL,
// FASTIO_QUERY_STANDARD_INFO FASTIO_QUERY_BASIC_INFO FASTIO_READ(WRITE)
//to hide first N bytes of given file

extern "C" {
#include <ntddk.h>
}
#pragma hdrstop("InterceptIO.pch")

/
// Undocumented structures missing in ntddk.h

typedef struct _FILE_INTERNAL_INFORMATION { // Information Class 6
    LARGE_INTEGER FileId;
} FILE_INTERNAL_INFORMATION, *PFILE_INTERNAL_INFORMATION;

typedef struct _FILE_EA_INFORMATION { // Information Class 7
    ULONG EaInformationLength;
} FILE_EA_INFORMATION, *PFILE_EA_INFORMATION;

typedef struct _FILE_ACCESS_INFORMATION { // Information Class 8
    ACCESS_MASK GrantedAccess;
} FILE_ACCESS_INFORMATION, *PFILE_ACCESS_INFORMATION;

typedef struct _FILE_MODE_INFORMATION { // Information Class 16
    ULONG Mode;
} FILE_MODE_INFORMATION, *PFILE_MODE_INFORMATION;

typedef struct _FILE_ALLOCATION_INFORMATION { // Information Class 19
    LARGE_INTEGER AllocationSize;
} FILE_ALLOCATION_INFORMATION, *PFILE_ALLOCATION_INFORMATION;

typedef struct _FILE_DIRECTORY_INFORMATION {
    ULONG NextEntryOffset;
    ULONG FileIndex;
    LARGE_INTEGER CreationTime;
    LARGE_INTEGER LastAccessTime;
    LARGE_INTEGER LastWriteTime;
    LARGE_INTEGER ChangeTime;
    LARGE_INTEGER EndOfFile;
    LARGE_INTEGER AllocationSize;
    ULONG FileAttributes;
    ULONG FileNameLength;
    WCHAR FileName[1];
} FILE_DIRECTORY_INFORMATION, *PFILE_DIRECTORY_INFORMATION;

typedef struct _FILE_ALL_INFORMATION { // Information Class 18
    FILE_BASIC_INFORMATION BasicInformation;
    FILE_STANDARD_INFORMATION StandardInformation;
    FILE_INTERNAL_INFORMATION InternalInformation;
    FILE_EA_INFORMATION EaInformation;
    FILE_ACCESS_INFORMATION AccessInformation;
    FILE_POSITION_INFORMATION PositionInformation;
    FILE_MODE_INFORMATION ModeInformation;
    FILE_ALIGNMENT_INFORMATION AlignmentInformation;
    FILE_NAME_INFORMATION NameInformation;
} FILE_ALL_INFORMATION, *PFILE_ALL_INFORMATION;

typedef struct tag_QUERY_DIRECTORY
{
    ULONG Length;
    PUNICODE_STRING FileName;
    FILE_INFORMATION_CLASS FileInformationClass;
    ULONG FileIndex;
} QUERY_DIRECTORY, *PQUERY_DIRECTORY;

#pragma pack(push, 4)

typedef struct tag_FQD_SmallCommonBlock
{
    ULONG NextEntryOffset;
    ULONG FileIndex;
} FQD_SmallCommonBlock, *PFQD_SmallCommonBlock;

typedef struct tag_FQD_FILE_ATTR
{
    TIME CreationTime;
    TIME LastAccessTime;
    TIME LastWriteTime;
    TIME ChangeTime;
    LARGE_INTEGER EndOfFile;
    LARGE_INTEGER AllocationSize;
    ULONG FileAttributes;
} FQD_FILE_ATTR, *PFQD_FILE_ATTR;

typedef struct tag_FQD_CommonBlock
{
    FQD_SmallCommonBlock SmallCommonBlock;
    FQD_FILE_ATTR FileAttr;
    ULONG FileNameLength;
} FQD_CommonBlock, *PFQD_CommonBlock;

typedef struct _KFILE_DIRECTORY_INFORMATION
{
    FQD_CommonBlock CommonBlock;
   
    WCHAR FileName[ANYSIZE_ARRAY];
} KFILE_DIRECTORY_INFORMATION, *PKFILE_DIRECTORY_INFORMATION;

typedef struct _KFILE_FULL_DIR_INFORMATION
{
    FQD_CommonBlock CommonBlock;
   
    ULONG EaSize;
    WCHAR FileName[ANYSIZE_ARRAY];
} KFILE_FULL_DIR_INFORMATION, *PKFILE_FULL_DIR_INFORMATION;

typedef struct _KFILE_BOTH_DIR_INFORMATION
{
    FQD_CommonBlock CommonBlock;
   
    ULONG EaSize;
    USHORT ShortFileNameLength;
    WCHAR ShortFileName[12];
    WCHAR FileName[ANYSIZE_ARRAY];
} KFILE_BOTH_DIR_INFORMATION, *PKFILE_BOTH_DIR_INFORMATION;

#pragma pack(pop)

/
// Global variables
PDRIVER_OBJECT pDriverObject;
PDRIVER_DISPATCH OldReadDisp, OldWriteDisp, OldQueryDisp, OldSetInfoDisp, OldDirCtlDisp;
PFAST_IO_READ OldFastIoReadDisp;
PFAST_IO_WRITE OldFastIoWriteDisp;
PFAST_IO_QUERY_STANDARD_INFO OldFastIoQueryStandartInfoDisp;

//Size of our file's Invisible Part (in bytes)
ULONG InvisiblePartSize = 10;
//File, part of which we want to hide
wchar_t OurFileName[] = L"testing.fil";

//Size of OurFileName in bytes, excluding null terminator
ULONG OurFileNameLen = sizeof(OurFileName) - sizeof(wchar_t);


/
// Functions

//Function returns true if FN matches OurFileName
bool ThisIsOurFile(PUNICODE_STRING FN)
{
    return ((FN->Buffer) &&
        (FN->Length >= OurFileNameLen) &&
        _wcsnicmp((wchar_t*)((char*)FN->Buffer + FN->Length - OurFileNameLen),
        OurFileName, OurFileNameLen/2)==0);
}

//Structure used to track IRPs which completion must be handled
struct s_ComplRtnTrack
{
    PIO_COMPLETION_ROUTINE CompletionRoutine;
    PVOID Context;
    //When CompletionRoutine is called, flags corresponds to InvokeOn*
    UCHAR Control;
    PIO_STACK_LOCATION CISL;
    FILE_INFORMATION_CLASS FileInformationClass;
    PVOID Buffer;
};

//Function set new CompletionRoutine, InvokeOnSuccess flag,
//and copies original fields to Context
void HookIrpCompletion(PIO_STACK_LOCATION CISL,
                      PIO_COMPLETION_ROUTINE CompletionRoutine,
                      PVOID Buffer,
                      FILE_INFORMATION_CLASS FileInformationClass)
{
    s_ComplRtnTrack* NewContext =
        (s_ComplRtnTrack*)ExAllocatePool(NonPagedPool, sizeof(s_ComplRtnTrack));
    NewContext->CompletionRoutine = CISL->CompletionRoutine;
    NewContext->Context = CISL->Context;
    NewContext->Control = CISL->Control;
    NewContext->CISL = CISL;
    //Since CISL.Parameters unavailabile in IrpCompletion handler,
    //let's save all necessary data in Context structure
    NewContext->FileInformationClass = FileInformationClass;
    NewContext->Buffer = Buffer;
    CISL->CompletionRoutine = CompletionRoutine;
    CISL->Context = NewContext;
    CISL->Control |= SL_INVOKE_ON_SUCCESS;
}

//Function handles IRP completion
NTSTATUS NewComplRtn (
                      IN PDEVICE_OBJECT DeviceObject,
                      IN PIRP Irp,
                      s_ComplRtnTrack* CXT)
{
    //Handle different types of IRP
    switch (CXT->CISL->MajorFunction)
    {
    case IRP_MJ_QUERY_INFORMATION:
        _asm int 3;
        //ThisIsOurFile is already tested
        switch (CXT->FileInformationClass)
        {
            //In all cases modify CurrentByteOffset and/or size (EndOfFile)
            //to hide first InvisiblePartSize bytes
        case FilePositionInformation:
            ((PFILE_POSITION_INFORMATION)CXT->Buffer)->CurrentByteOffset.QuadPart -= InvisiblePartSize;
            break;
        case FileEndOfFileInformation:
            ((PFILE_END_OF_FILE_INFORMATION)CXT->Buffer)->EndOfFile.QuadPart -= InvisiblePartSize;
            break;
        case FileStandardInformation:
            ((PFILE_STANDARD_INFORMATION)CXT->Buffer)->EndOfFile.QuadPart -= InvisiblePartSize;
            break;
        case FileAllocationInformation:
            ((PFILE_ALLOCATION_INFORMATION)CXT->Buffer)->AllocationSize.QuadPart -= InvisiblePartSize;
            break;
        case FileAllInformation:
            ((PFILE_ALL_INFORMATION)CXT->Buffer)->PositionInformation.CurrentByteOffset.QuadPart -= InvisiblePartSize;
            ((PFILE_ALL_INFORMATION)CXT->Buffer)->StandardInformation.EndOfFile.QuadPart -= InvisiblePartSize;
            break;
        }
        case IRP_MJ_DIRECTORY_CONTROL:
            //Get a pointer to first directory entries
            PFQD_SmallCommonBlock pQueryDirWin32 = (PFQD_SmallCommonBlock)CXT->Buffer;
            //Cycle through directory entries
            while (1)
            {
                PWCHAR pFileName = 0;
                ULONG dwFileNameLength = 0;
                switch (CXT->FileInformationClass)
                {
                    //In all cases get pointer to FileName and FileNameLength
                case FileDirectoryInformation:
                    dwFileNameLength = ((PKFILE_DIRECTORY_INFORMATION)pQueryDirWin32)->CommonBlock.FileNameLength;
                    pFileName = ((PKFILE_DIRECTORY_INFORMATION)pQueryDirWin32)->FileName;
                    break;
                case FileFullDirectoryInformation:
                    dwFileNameLength = ((PKFILE_FULL_DIR_INFORMATION)pQueryDirWin32)->CommonBlock.FileNameLength;
                    pFileName = ((PKFILE_FULL_DIR_INFORMATION)pQueryDirWin32)->FileName;
                    break;
                case FileBothDirectoryInformation:
                    dwFileNameLength = ((PKFILE_BOTH_DIR_INFORMATION)pQueryDirWin32)->CommonBlock.FileNameLength;
                    pFileName = ((PKFILE_BOTH_DIR_INFORMATION)pQueryDirWin32)->FileName;
                    break;
                }
                //_asm int 3;
                //Is this file that we want?
                if ((dwFileNameLength == OurFileNameLen) &&
                    _wcsnicmp(pFileName, OurFileName, OurFileNameLen/2)==0)
                {
                    //_asm int 3;
                    //Hide first InvisiblePartSize bytes
                    ((PFQD_CommonBlock)pQueryDirWin32)->FileAttr.EndOfFile.QuadPart -= InvisiblePartSize;
                    break;
                }
                //Quit if no more directory entries
                if (!pQueryDirWin32->NextEntryOffset) break;
                //Continue with next directory entry
                pQueryDirWin32 = (PFQD_SmallCommonBlock)((CHAR*)pQueryDirWin32 + pQueryDirWin32->NextEntryOffset);
            }
           
    }
    //If appropriate Control flag was set,...
    if (
        ((CXT->Control == SL_INVOKE_ON_SUCCESS)&&(NT_SUCCESS(Irp->IoStatus.Status)))
        || ((CXT->Control == SL_INVOKE_ON_ERROR)&&(NT_ERROR(Irp->IoStatus.Status)))
        || ((CXT->Control == SL_INVOKE_ON_CANCEL)&&(Irp->IoStatus.Status == STATUS_CANCELLED)) )
        //...call original CompletionRoutine
        return CXT->CompletionRoutine(
        DeviceObject,
        Irp,
        CXT->Context);
    else return STATUS_SUCCESS;
}

//Filename IRP handler deal with
#define FName &(CISL->FileObject->FileName)

//Function handles IRP_MJ_READ and IRP_MJ_WRITE
NTSTATUS NewReadWriteDisp (
                          IN PDEVICE_OBJECT DeviceObject,
                          IN PIRP Irp)
{
    //_asm int 3;
    PIO_STACK_LOCATION CISL = IoGetCurrentIrpStackLocation(Irp);
    if (CISL->FileObject &&
        //Don't mess with swaping
        !(Irp->Flags & IRP_PAGING_IO) && !(Irp->Flags & IRP_SYNCHRONOUS_PAGING_IO))
    {
        if (ThisIsOurFile(FName))
        {
            //_asm int 3;
            CISL->Parameters.Write.ByteOffset.QuadPart += InvisiblePartSize;
            //Write and Read has the same structure, thus handled together
        }
    }
    //Call corresponding original handler
    switch (CISL->MajorFunction)
    {
    case IRP_MJ_READ:
        return OldReadDisp(DeviceObject, Irp);
    case IRP_MJ_WRITE:
        return OldWriteDisp(DeviceObject, Irp);
    }
}

//Function handles IRP_MJ_QUERY_INFORMATION
NTSTATUS NewQueryDisp (
                      IN PDEVICE_OBJECT DeviceObject,
                      IN PIRP Irp)
{
    //_asm int 3;
    PIO_STACK_LOCATION CISL = IoGetCurrentIrpStackLocation(Irp);
    if ((CISL->MajorFunction == IRP_MJ_QUERY_INFORMATION) &&
        ThisIsOurFile(FName))
    {
        //_asm int 3;
        switch (CISL->Parameters.QueryFile.FileInformationClass)
        {
            //Information types that contains file size or current offset
        case FilePositionInformation:
        case FileEndOfFileInformation:
        case FileStandardInformation:
        case FileAllocationInformation:
        case FileAllInformation:
            //_asm int 3;
            HookIrpCompletion(CISL, (PIO_COMPLETION_ROUTINE)NewComplRtn, Irp->AssociatedIrp.SystemBuffer, CISL->Parameters.QueryFile.FileInformationClass);
        }
    }
    //Call original handler
    return OldQueryDisp(DeviceObject, Irp);
}

//Function handles IRP_MJ_SET_INFORMATION
NTSTATUS NewSetInfoDisp (
                        IN PDEVICE_OBJECT DeviceObject,
                        IN PIRP Irp)
{
    //_asm int 3;
    PIO_STACK_LOCATION CISL = IoGetCurrentIrpStackLocation(Irp);
    if (CISL->FileObject && ThisIsOurFile(FName))
    {
        //_asm int 3;
        switch (CISL->Parameters.QueryFile.FileInformationClass)
        {
            //Information types that contains file size or current offset.
            //In all cases modify CurrentByteOffset and/or size (EndOfFile)
            //to hide first InvisiblePartSize bytes
        case FilePositionInformation:
            ((PFILE_POSITION_INFORMATION)Irp->AssociatedIrp.SystemBuffer)->CurrentByteOffset.QuadPart += InvisiblePartSize;
            break;
        case FileEndOfFileInformation:
            ((PFILE_END_OF_FILE_INFORMATION)Irp->AssociatedIrp.SystemBuffer)->EndOfFile.QuadPart += InvisiblePartSize;
            break;
        case FileStandardInformation:
            ((PFILE_STANDARD_INFORMATION)Irp->AssociatedIrp.SystemBuffer)->EndOfFile.QuadPart += InvisiblePartSize;
            break;
        case FileAllocationInformation:
            //_asm int 3;
            ((PFILE_ALLOCATION_INFORMATION)Irp->AssociatedIrp.SystemBuffer)->AllocationSize.QuadPart += InvisiblePartSize;
            break;
        case FileAllInformation:
            ((PFILE_ALL_INFORMATION)Irp->AssociatedIrp.SystemBuffer)->PositionInformation.CurrentByteOffset.QuadPart += InvisiblePartSize;
            ((PFILE_ALL_INFORMATION)Irp->AssociatedIrp.SystemBuffer)->StandardInformation.EndOfFile.QuadPart += InvisiblePartSize;
            break;
        }
    }
    //Call original handler
    return OldSetInfoDisp(DeviceObject, Irp);
}

//Function handles IRP_MJ_DIRECTORY_CONTROL
NTSTATUS NewDirCtlDisp (
                        IN PDEVICE_OBJECT DeviceObject,
                        IN PIRP Irp)
{
    void *pBuffer;
    PIO_STACK_LOCATION CISL = IoGetCurrentIrpStackLocation(Irp);
    //_asm int 3;
    if ((CISL->MajorFunction == IRP_MJ_DIRECTORY_CONTROL) &&
        (CISL->MinorFunction == IRP_MN_QUERY_DIRECTORY))
    {
        //Handle both ways of passing user supplied buffer
        if (Irp->MdlAddress)
            pBuffer = MmGetSystemAddressForMdl(Irp->MdlAddress);
        else
            pBuffer = Irp->UserBuffer;
        HookIrpCompletion(CISL, (PIO_COMPLETION_ROUTINE)NewComplRtn, pBuffer, ((PQUERY_DIRECTORY)(&CISL->Parameters))->FileInformationClass);
    }
    //Call original handler
    return OldDirCtlDisp(DeviceObject, Irp);
}

#undef FName

//Function handles FastIoRead
BOOLEAN NewFastIoRead(
                      IN PFILE_OBJECT FileObject,
                      IN PLARGE_INTEGER FileOffset,
                      IN ULONG Length,
                      IN BOOLEAN Wait,
                      IN ULONG LockKey,
                      OUT PVOID Buffer,
                      OUT PIO_STATUS_BLOCK IoStatus,
                      IN PDEVICE_OBJECT DeviceObject
                      )
{
    LARGE_INTEGER NewFileOffset;
    //_asm int 3;
    if ((FileObject) && (ThisIsOurFile(&FileObject->FileName)))
    {
        //_asm int 3;
        //Modify FileOffset to hide first InvisiblePartSize bytes
        NewFileOffset.QuadPart = FileOffset->QuadPart + InvisiblePartSize;
        return OldFastIoReadDisp(FileObject, &NewFileOffset, Length, Wait, LockKey, Buffer,
            IoStatus, DeviceObject);
    }
    //Call original handler
    return OldFastIoReadDisp(FileObject, FileOffset, Length, Wait, LockKey, Buffer,
        IoStatus, DeviceObject);
}

//Function handles FastIoWrite
BOOLEAN NewFastIoWrite(
                      IN PFILE_OBJECT FileObject,
                      IN PLARGE_INTEGER FileOffset,
                      IN ULONG Length,
                      IN BOOLEAN Wait,
                      IN ULONG LockKey,
                      OUT PVOID Buffer,
                      OUT PIO_STATUS_BLOCK IoStatus,
                      IN PDEVICE_OBJECT DeviceObject
                      )
{
    LARGE_INTEGER NewFileOffset;
    //_asm int 3;
    if ((FileObject) && (ThisIsOurFile(&FileObject->FileName)))
    {
        //_asm int 3;
        //Modify FileOffset to hide first InvisiblePartSize bytes
        NewFileOffset.QuadPart = FileOffset->QuadPart + InvisiblePartSize;
        return OldFastIoWriteDisp(FileObject, &NewFileOffset, Length, Wait, LockKey, Buffer,
            IoStatus, DeviceObject);
    }
    return OldFastIoWriteDisp(FileObject, FileOffset, Length, Wait, LockKey, Buffer,
        IoStatus, DeviceObject);
}

//Function handles FastIoQueryStandartInfo
BOOLEAN NewFastIoQueryStandartInfo(
                                  IN struct _FILE_OBJECT *FileObject,
                                  IN BOOLEAN Wait,
                                  OUT PFILE_STANDARD_INFORMATION Buffer,
                                  OUT PIO_STATUS_BLOCK IoStatus,
                                  IN struct _DEVICE_OBJECT *DeviceObject
                                  )
{
    //Call original handler
    BOOLEAN status = OldFastIoQueryStandartInfoDisp(FileObject, Wait, Buffer, IoStatus, DeviceObject);
    if ((FileObject) && (ThisIsOurFile(&FileObject->FileName)))
    {
        //_asm int 3;
        //Modify EndOfFile to hide first InvisiblePartSize bytes
        Buffer->EndOfFile.QuadPart -= InvisiblePartSize;
    }
    return status;
}

extern "C"
NTSYSAPI
NTSTATUS
NTAPI
ObReferenceObjectByName(
                        IN PUNICODE_STRING ObjectPath,
                        IN ULONG Attributes,
                        IN PACCESS_STATE PassedAccessState OPTIONAL,
                        IN ACCESS_MASK DesiredAccess OPTIONAL,
                        IN POBJECT_TYPE ObjectType,
                        IN KPROCESSOR_MODE AccessMode,
                        IN OUT PVOID ParseContext OPTIONAL,
                        OUT PVOID *ObjectPtr
                        );

extern "C" PVOID IoDriverObjectType;

//Function hooks given dispatch function (MajorFunction)
VOID InterceptFunction(UCHAR MajorFunction,
                      PDRIVER_OBJECT pDriverObject,
                      OPTIONAL PDRIVER_DISPATCH *OldFunctionPtr,
                      OPTIONAL PDRIVER_DISPATCH NewFunctionPtr)
{
    PDRIVER_DISPATCH *TargetFn;
   
    TargetFn = &(pDriverObject->MajorFunction[MajorFunction]);
    //hook only if handler exists
    if (*TargetFn)
    {
        if (OldFunctionPtr) *OldFunctionPtr = *TargetFn;
        if (NewFunctionPtr) *TargetFn = NewFunctionPtr;
    }
}

//Function hooks given driver's dispatch functions
NTSTATUS Intercept(PWSTR pwszDeviceName)
{
    UNICODE_STRING DeviceName;
    NTSTATUS status;
    KIRQL OldIrql;
   
    _asm int 3;
   
    pDriverObject = NULL;
    RtlInitUnicodeString(&DeviceName, pwszDeviceName);
    status = ObReferenceObjectByName(&DeviceName, OBJ_CASE_INSENSITIVE, NULL, 0, (POBJECT_TYPE)IoDriverObjectType, KernelMode, NULL, (PVOID*)&pDriverObject);
    if (pDriverObject)
    {
        //Raise IRQL to avoid context switch
        //when some pointer is semi-modified
        KeRaiseIrql(HIGH_LEVEL, &OldIrql);
        //hook dispatch functions
        InterceptFunction(IRP_MJ_READ, pDriverObject, &OldReadDisp, NewReadWriteDisp);
        InterceptFunction(IRP_MJ_WRITE, pDriverObject, &OldWriteDisp, NewReadWriteDisp);
        InterceptFunction(IRP_MJ_QUERY_INFORMATION, pDriverObject, &OldQueryDisp, NewQueryDisp);
        InterceptFunction(IRP_MJ_SET_INFORMATION, pDriverObject, &OldSetInfoDisp, NewSetInfoDisp);
        InterceptFunction(IRP_MJ_DIRECTORY_CONTROL, pDriverObject, &OldDirCtlDisp, NewDirCtlDisp);
        //hook FastIo dispatch functions if FastIo table exists
        if (pDriverObject->FastIoDispatch)
        {
            //It would be better to copy FastIo table to avoid
            //messing with kernel memory protection, but it works as it is
            OldFastIoReadDisp = pDriverObject->FastIoDispatch->FastIoRead;
            pDriverObject->FastIoDispatch->FastIoRead = NewFastIoRead;
            OldFastIoWriteDisp = pDriverObject->FastIoDispatch->FastIoWrite;
            pDriverObject->FastIoDispatch->FastIoWrite = NewFastIoWrite;
            OldFastIoQueryStandartInfoDisp = pDriverObject->FastIoDispatch->FastIoQueryStandardInfo;
            pDriverObject->FastIoDispatch->FastIoQueryStandardInfo = NewFastIoQueryStandartInfo;
        }
        KeLowerIrql(OldIrql);
    }
   
    return status;
}

//Function cancels hooking
VOID UnIntercept()
{
    KIRQL OldIrql;
    if (pDriverObject)
    {
        KeRaiseIrql(HIGH_LEVEL, &OldIrql);
        InterceptFunction(IRP_MJ_READ, pDriverObject, NULL, OldReadDisp);
        InterceptFunction(IRP_MJ_WRITE, pDriverObject, NULL, OldWriteDisp);
        InterceptFunction(IRP_MJ_QUERY_INFORMATION, pDriverObject, NULL, OldQueryDisp);
        InterceptFunction(IRP_MJ_SET_INFORMATION, pDriverObject, NULL, OldSetInfoDisp);
        InterceptFunction(IRP_MJ_DIRECTORY_CONTROL, pDriverObject, NULL, OldDirCtlDisp);
        if (pDriverObject->FastIoDispatch)
        {
            pDriverObject->FastIoDispatch->FastIoRead = OldFastIoReadDisp;
            pDriverObject->FastIoDispatch->FastIoWrite = OldFastIoWriteDisp;
            pDriverObject->FastIoDispatch->FastIoQueryStandardInfo = OldFastIoQueryStandartInfoDisp;
        }
        KeLowerIrql(OldIrql);
        ObDereferenceObject(pDriverObject);
    }
}
iiprogram
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入)
杨秀璋的专栏
06-25 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入、APC注入,案例包括键盘钩子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 005-网络安全应急技术与实践(黑客入侵技术)
热门推荐
时光隧道
02-06 6万+
WHOIS查询是一种用于确定域名或IP地址的所有者和注册信息的公共数据库查询服务。使用WHOIS查询,您可以查找域名的注册商、注册日期、到期日期、域名所有者的联系信息以及域名服务器等相关信息。WHOIS协议通常使用TCP端口43进行通信。请注意,由于WHOIS是公开数据库,因此某些敏感信息(例如个人联系信息)可能会被隐藏或保护,以保护个人隐私。
黑客帝国代码雨.bat
05-29
抖音最近比较火爆的 黑客帝国-代码雨,因为页面炫酷,适合装逼,有种身临黑客其境,深受很多用户喜爱收藏。本着好奇的心学习研究探讨,今将其分享,需要的小伙伴赶紧看看收藏吧~
黑客常用的DOS命令及批处理文件的编写(windows)
zsdddddss的博客
12-13 703
常用的DOS命令及批处理文件的编写(windows)
黑客入侵效果网页html,满屏绿字滑下效果
weixin_43474701的博客
12-10 1万+
黑客入侵效果网页html代码 效果如下图: 想要改变绿色的字就把下面代码中的编程ID改成你想要的就行,复制代码粘贴文本文档,改后缀名为html即可。 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <
一行代码伪装黑客
最新发布
段子手168的博客
03-16 5224
dos批处理学习,dos,MSDOS,bash, shell
文件夹或文件隐藏加密20201024
qq_43575090的博客
10-25 2316
前言: 最近果果迷上了u盘加密,因为之前看到有程序员删库跑路的事情,让这家公司损失了好多,而公司又花费了百万元来进行数据恢复.感觉还是很难受的.但是今天学习到的是文件夹或者文件和图片的隐藏,整个过程基本都是在win系统上的简单操作,但是我不会,所以果果要做笔记. 文件定性法: 注册表法: attrib法: 透明文件夹图标法: copy 图片法: 压缩包加密+图片copy法: 类标识法: 特殊文件法: 盘符隐藏法:(三种) 盘符管理法: 组策略法: 注册表法: ...
PHP给源代码加密的几种方法汇总(推荐)
10-18
第一个方法是通过自定义函数`encode_file_contents`来实现源代码的简单加密。该函数首先检查文件是否为PHP文件且可写,然后读取文件内容,去除PHP的部和尾部标识,并使用`php_strip_whitespace`函数删除多余的...
什么是代码加密?基于云效 Codeup的代码仓库加密是如何实现的?
BYvonne的博客
09-29 363
什么是代码加密?基于云效 Codeup的代码仓库加密是如何实现的?在互联网快速发展的时代,代码是企业最核心的资产,代码安全也是首当其冲;为了保护企业代码安全,各公司使出的手段也是五花八门,但未必安全,而云端加密代码服务是阿里云 云效团队的自研产品,是目前国内率先支持代码加密的托管服务,能够有效的阻断代码对运维人员的可见性,从而消除用户上云的顾虑。
黑客丢哦代码雨源代码bat.
02-07
黑客帝国代码雨源代码bat.文档 黑客帝国炫酷代码雨、字符
新建文本文档.bat
05-02
import os videoPath = r'A:\videos\15852794'#根目录地址 episodes = os.listdir(videoPath)#该视频的每一P for episode in episodes: episodePath = videoPath + '\\%s\\' % episode #每一P的文件路径 contents = os.listdir(episodePath) #每一P的内容 for c in contents: if (os.path.isdir(episodePath + c)): #寻找其中的目录 flvPath = c flvs = os.listdir(episodePath + flvPath) #在有视频目录的文件夹下获取每个视频片段的文件名 with open(episodePath + flvPath + '\\list.txt', 'w', encoding='utf-8') as f: #创建list.txt,用于依次存取每个视频的文件名 for flv in flvs: if os.path.splitext(flv)[1] == '.blv':#依次寻找blv文件 f.write("file '%s'\n" % flv) #list.txt 以“file '文件名'”的格式一行行存储 cmd = r'%s && cd %s && ffmpeg -f concat -i list.txt -c copy %s\e%s.mp4' % (videoPath[0:2],episodePath + flvPath, videoPath, episode) #首先定位到视频所在盘,然后cd到视频片段所在的目录, #最后运行ffmpeg的命令
非常强大的加密隐藏文件工具——文件密码箱:EncryptBox
12-02
文件密码箱”通过在磁盘上建立一个加密虚拟存储层——密码箱,实现文件的透明加密和安全隔离存储,并通过专门的虚拟文件系统对密码箱中内容进行管理。从外部看密码箱是一个数据文件,但输入密码打开密码箱后,里面就像一个独立的磁盘,可加密存储各类文件文件夹,无需手动加解密,可像操作普通磁盘中文件一样直接操作密码箱中文件文件夹,密码箱中文件始终处于加密状态。 密码箱中每个文件加密算法为动态选择,除了加密,本软件还提供了反暴力破解、反星号密码提取、动态调试防御、密码攻击反制、密钥文件、软键盘输入、断电保护和自修复、源文件粉碎、入侵警报、登录审计、一键锁定与自动锁定、增量备份与自动镜像等防泄密反窃密创新技术,为您的数字资产提供全方位专业保护。 本软件还针对密码箱内的文件文件夹提供了众多增强的文件管理功能,如书签、注释、模糊查找和快速检索、图片文件预览、密码箱内部隐藏文件夹、密码箱内部回收站、密码箱内部存储空间管理等。 本软件支持本地文件文件加密、优盘移动加密、光盘归档加密、网盘文件加密等多种应用。 1、软件安装与卸载:本软件无需安装,解压后直接运行EncryptBox.exe程序即可使用。本软件无需卸载,不用时直接删除软件运行目录即可,但删除前要确保密码箱内文件已全部导出(否则会随数据文件一起被删除)。 2、同一电脑中允许使用多套文件密码箱,可通过复制文件密码箱软件的多个副本,启用多套密码箱。 3、将软件运行目录拷贝到优盘或移动硬盘,并在其上运行打开,可以实现移动加密。将软件目录刻录到光盘可以实现归档加密。可将文件密码箱存放在网盘中实现对网盘文件加密。 4、密码不保存在密码箱中,无法用动态跟踪、反编译等办法截取,缺少密码作者本人亦无法解密,因此请一定牢记您的密码箱密码! 5、本软件适合加密各类数据文件,如各类文档资料、图纸方案、图片影音等,但在加解密大文件时需要一定时间(大概和拷贝该文件所需时间相当或略长一点)。 6、本软件曾获“首届互联网大赛”优秀奖,并被《电脑爱好者》、《电脑报》、《电脑迷》、《家用电脑》、《CHIP新电脑》等权威媒体多次推荐和介绍。 7、本软件为免费软件,无任何功能或使用时间上的限制。您可以分发此软件,但要保证所分发的软件包含全部文件,并且未作任何修改;您不能对此软件作任何的软件反向工程,如反汇编,跟踪等。 8、加密涉及源文件改变和磁盘读写,有一定风险,对于软件可能存在的尚未知的错误、操作过程中的异常情况、使用者密码忘记等造成的可能损失,软件作者不承担相关责任。一旦使用本软件请牢记密码、经常备份!
超全面黑客命令大汇总,cmd与net命令
yaosichengalpha的博客
07-19 3255
超全面黑客命令大汇总,cmd与net命令
(转)深入理解文件操作函数native api之ZwQueryInformationFile 获取File ID
gylll的专栏
03-03 3556
http://hi.baidu.com/liushijianlu/blog/item/b104c810a08f8b28dc5401fb.html>深入理解文件操作函数native api之ZwQueryInformationFile看这个函数的名字和参数就能够知道他是干嘛用的了,但是他的作用远不止这些,这需要一些技巧和深入的理解才能有了新的思路。现在仅仅是明白了函数
面向Windows的文件透明加解密解决方案(3)——透明加解密驱动程序二
某熊的技术之路
05-31 1万+
3.3关键技术详解 对于用户的文件操作请求,Windows 用户层中对文件的各种操作映射到微过滤驱动中就转化为类型为Create,Read,Write 和Close 等的I/O 操作,因此只要对这些操作的内容进行过滤处理,即可达到透明加解密的目的。首先在IRP_MJ_CREATE 中查询目标文件是否是监控文件类型,创建一个StreamContext 并附着在文件对象上,并在StreamConte
Windows 文件过滤驱动经验总结
trents的专栏
05-11 529
看了 ChuKuangRen的第二版《文件过滤驱动开发教程》后,颇有感触。我想,交流都是建立在平等的基础上,在抱怨氛围和环境不好的同时应该先想一想自己究竟付出了多少?只知索取不愿付出的人也就不用抱怨了,要怪也只能怪自己。发自己心得的人无非是两种目的,一是引发一些讨论,好纠正自己错误的认识,以便从中获取更多的知识使自己进步的更快。二是做一份备忘,当自己遗忘的时候能够马上找到相关资料。我这
FILE_BASIC_INFORMATION 的理解
lhj6105的专栏
01-05 2411
<br />1.       文件的创建<br />对文件的创建或者打开都是通过内核函数ZwCreateFile实现的。和Windows API类似,这个内核函数返回一个文件句柄,文件的所有操作都是依靠这个句柄进行操作的。在文件操作完毕后,要关闭这个文件句柄。<br />NTSTATUS  <br />   ZwCreateFile(<br />     OUT PHANDLE   FileHandle,<br />     IN ACCESS_MASK   DesiredAccess,<br /
Process Monitor监控目录 - 监控文件被哪个进程操作了。
zhang_sinner的专栏
02-11 1万+
转载请注明: 用Process Monitor监控目录 | 薤叶芸香's blog http://plumgo.cc/trace-folder-using-process-monitor/ 利用之前Windows API的知识,可以实现目录监控的功能,实际上我也实现了,但是如文中所述,当指定目录下操作过多时,会损失部分通知。多少算多呢,解压一个eclipse开发环境的压缩包到监控目录下,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值