Hide Directory

最新推荐文章于 2020-11-23 15:51:07 发布
最新推荐文章于 2020-11-23 15:51:07 发布
阅读量617 收藏
点赞数 1
文章标签: integer string file class api 工作

<!-- /* Font Definitions */ @font-face {font-family:"MS 明朝"; panose-1:2 2 6 9 4 2 5 8 3 4; mso-font-alt:"MS Mincho"; mso-font-charset:128; mso-generic-font-family:roman; mso-font-pitch:fixed; mso-font-signature:-1610612033 1757936891 16 0 131231 0;} @font-face {font-family:SimSun; panose-1:2 1 6 0 3 1 1 1 1 1; mso-font-alt:宋体; mso-font-charset:134; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:3 135135232 16 0 262145 0;} @font-face {font-family:Century; panose-1:2 4 6 3 5 7 5 2 3 3; mso-font-alt:"Times New Roman"; mso-font-charset:0; mso-generic-font-family:roman; mso-font-format:other; mso-font-pitch:variable; mso-font-signature:3 0 0 0 1 0;} @font-face {font-family:"/@MS 明朝"; panose-1:2 2 6 9 4 2 5 8 3 4; mso-font-charset:128; mso-generic-font-family:roman; mso-font-pitch:fixed; mso-font-signature:-1610612033 1757936891 16 0 131231 0;} @font-face {font-family:"/@SimSun"; panose-1:2 1 6 0 3 1 1 1 1 1; mso-font-charset:134; mso-generic-font-family:auto; mso-font-pitch:variable; mso-font-signature:3 135135232 16 0 262145 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-parent:""; margin:0mm; margin-bottom:.0001pt; text-align:justify; text-justify:inter-ideograph; mso-pagination:none; font-size:10.5pt; mso-bidi-font-size:12.0pt; font-family:Century; mso-fareast-font-family:"MS 明朝"; mso-bidi-font-family:"Times New Roman"; mso-font-kerning:1.0pt;} a:link, span.MsoHyperlink {color:blue; text-decoration:underline; text-underline:single;} a:visited, span.MsoHyperlinkFollowed {color:purple; text-decoration:underline; text-underline:single;} /* Page Definitions */ @page {mso-page-border-surround-header:no; mso-page-border-surround-footer:no;} @page Section1 {size:595.3pt 841.9pt; margin:99.25pt 30.0mm 30.0mm 30.0mm; mso-header-margin:42.55pt; mso-footer-margin:49.6pt; mso-paper-source:0; layout-grid:18.0pt;} div.Section1 {page:Section1;} -->

驱动拦 NT API 实现隐 藏文件目  
  目前 NT 下有很多 种隐 藏文件和目 的方法,其中最 简单 的一 文件和文件 加上系 属性和 藏属性,操作系 就会不在 示了,而且 找也找不到了,但是 这种 方法一点都不 底,没有可用性!下面我 来介 NT 驱动 程序来 NTAPI 实现彻 藏文件和目 的目的。 NT 下有一个文件 NTDLL.DLL ,大部分 NTAPI 都是在 中封装的。其中 实现查 找文件和目 API 接口是 ZwQueryDirectoryFile ,所以我 只要 API ,文件和目 就可以 完全 藏了!下面来一 实现 (准 工作:到 NTDDK 中找一个 WDM 驱动 程序模型,也就是最 简单 驱动 程序 了):  
   
  1. FILE_INFORMATION_CLASS 的第 3 构: _FILE_BOTH_DIR_INFORMATION 构是 ZwQueryDirectoryFile 参数。  
   
  typedef struct _FILE_BOTH_DIR_INFORMATION {  
  ULONG NextEntryOffset;  
  ULONG FileIndex;  
  LARGE_INTEGER CreationTime;  
  LARGE_INTEGER LastAccessTime;  
  LARGE_INTEGER LastWriteTime;  
  LARGE_INTEGER ChangeTime;  
  LARGE_INTEGER EndOfFile;  
  LARGE_INTEGER AllocationSize;  
  ULONG FileAttributes;  
  ULONG FileNameLength;  
  ULONG EaSize;  
  CCHAR ShortNameLength;  
  WCHAR ShortName[12];  
  WCHAR FileName[1];  
  } FILE_BOTH_DIR_INFORMATION, *PFILE_BOTH_DIR_INFORMATION;  
   
   
   
  2. 先申明 ZwQueryDirectoryFile ,然后定 ZwQueryDirectoryFile 的原型:  
   
  extern NTSYSAPI NTSTATUS NTAPI ZwQueryDirectoryFile(  
  IN HANDLE hFile,  
  IN HANDLE hEvent OPTIONAL,  
  IN PIO_APC_ROUTINE IoApcRoutine OPTIONAL,  
  IN PVOID IoApcContext OPTIONAL,  
  OUT PIO_STATUS_BLOCK pIoStatusBlock,  
  OUT PVOID FileInformationBuffer,  
  IN ULONG FileInformationBufferLength,  
  IN FILE_INFORMATION_CLASS FileInfoClass,  
  IN BOOLEAN bReturnOnlyOneEntry,  
  IN PUNICODE_STRING PathMask OPTIONAL,  
  IN BOOLEAN bRestartQuery);  
   
  // ZwQueryDirectoryFile 的原型  
   
  typedef NTSTATUS (*REALZWQUERYDIRECTORYFILE)(IN HANDLE hFile,  
  IN HANDLE hEvent OPTIONAL,  
  IN PIO_APC_ROUTINE IoApcRoutine OPTIONAL,  
  IN PVOID IoApcContext OPTIONAL,  
  OUT PIO_STATUS_BLOCK pIoStatusBlock,  
  OUT PVOID FileInformationBuffer,  
  IN ULONG FileInformationBufferLength,  
  IN FILE_INFORMATION_CLASS FileInfoClass,  
  IN BOOLEAN bReturnOnlyOneEntry,  
  IN PUNICODE_STRING PathMask OPTIONAL,  
  IN BOOLEAN bRestartQuery);  
   
  // 一个原函数指  
  REALZWQUERYSYSTEMINFORMATION RealZwQuerySystemInformation;  
   
  3. API 函数的原型:  
   
  NTSTATUS HookZwQueryDirectoryFile(  
  IN HANDLE hFile,  
  IN HANDLE hEvent OPTIONAL,  
  IN PIO_APC_ROUTINE IoApcRoutine OPTIONAL,  
  IN PVOID IoApcContext OPTIONAL,  
  OUT PIO_STATUS_BLOCK pIoStatusBlock,  
  OUT PVOID FileInformationBuffer,  
  IN ULONG FileInformationBufferLength,  
  IN FILE_INFORMATION_CLASS FileInfoClass,  
  IN BOOLEAN bReturnOnlyOneEntry,  
  IN PUNICODE_STRING PathMask OPTIONAL,  
  IN BOOLEAN bRestartQuery);  
   
  4. DriverEntry 驱动 入口)函数中加入如下申明:  
   
  // 保存真正的 ZwQueryDirectoryFile 函数地址  
   
  RealZwQueryDirectoryFile=(REALZWQUERYDIRECTORYFILE)(SYSTEMSERVICE(ZwQueryDirectoryFile));  
   
  // 把自定 的替 函数指 指向真正的 ZwQueryDirectoryFile 函数  
   
  (REALZWQUERYDIRECTORYFILE)(SYSTEMSERVICE(ZwQueryDirectoryFile))=HookZwQueryDirectoryFile;  
   
  5. DriverUnload 驱动 函数)函数中加入恢  
   
  // 原来的函数指  
   
  (REALZWQUERYDIRECTORYFILE)(SYSTEMSERVICE(ZwQueryDirectoryFile))=RealZwQueryDirectoryFile;  
   
  6. 在准 工作做好了,函数指 都已 经设 向了,剩下的是 实现这 个我 自定 的替 函数 HookZwQueryDirectoryFile ,代 如下:  
   
  NTSTATUS HookZwQueryDirectoryFile(  
  IN HANDLE hFile,  
  IN HANDLE hEvent OPTIONAL,  
  IN PIO_APC_ROUTINE IoApcRoutine OPTIONAL,  
  IN PVOID IoApcContext OPTIONAL,  
  OUT PIO_STATUS_BLOCK pIoStatusBlock,  
  OUT PVOID FileInformationBuffer,  
  IN ULONG FileInformationBufferLength,  
  IN FILE_INFORMATION_CLASS FileInfoClass,  
  IN BOOLEAN bReturnOnlyOneEntry,  
  IN PUNICODE_STRING PathMask OPTIONAL,  
  IN BOOLEAN bRestartQuery)  
  {  
  NTSTATUS rc;  
  ULONG CR0VALUE;  
   
  ANSI_STRING ansiFileName,ansiDirName,HideDirFile;  
  UNICODE_STRING uniFileName;  
   
  // 初始化要 过虑 的文件名 里是 debug.exe  
  RtlInitAnsiString(&HideDirFile,"DBGVIEW.EXE");  
   
  // 行真正的 ZwQueryDirectoryFile 函数  
  rc = ((REALZWQUERYDIRECTORYFILE)(RealZwQueryDirectoryFile))(  
  hFile,  
  hEvent,  
  IoApcRoutine,  
  IoApcContext,  
  pIoStatusBlock,  
  FileInformationBuffer,  
  FileInformationBufferLength,  
  FileInfoClass,  
  bReturnOnlyOneEntry,  
  PathMask,  
  bRestartQuery);  
  /* 如果 行成功(而且 FILE_INFORMATION_CLASS 值为 FileBothDirectoryInformation ,我 理, 过滤 */  
  if(NT_SUCCESS(rc)&& (FileInfoClass == FileBothDirectoryInformation))  
  {  
  PFILE_BOTH_DIR_INFORMATION pFileInfo;  
  PFILE_BOTH_DIR_INFORMATION pLastFileInfo;  
  BOOL bLastOne;  
  // 赋给 pFileInfo  
  pFileInfo = (PFILE_BOTH_DIR_INFORMATION)FileInformationBuffer;  
  pLastFileInfo = NULL;  
  // 环检查  
  do  
  {  
  bLastOne = !( pFileInfo->NextEntryOffset );  
  RtlInitUnicodeString(&uniFileName,pFileInfo->FileName);  
  RtlUnicodeStringToAnsiString(&ansiFileName,&uniFileName,TRUE);  
  RtlUnicodeStringToAnsiString(&ansiDirName,&uniFileName,TRUE);  
  RtlUpperString(&ansiFileName,&ansiDirName);  
  // 打印 果,用 debugview 可以 看打印  
  DbgPrint("ansiFileName :%s/n",ansiFileName.Buffer);  
  DbgPrint("HideDirFile :%s/n",HideDirFile.Buffer);  
   
  // 行比 ,如果找到了就 个文件或者目  
  if( RtlCompareMemory(ansiFileName.Buffer,HideDirFile.Buffer,HideDirFile.Length ) == HideDirFile.Length)  
  {  
  DbgPrint("This is HideDirFile!/n");  
  if(bLastOne)  
  {  
  if(pFileInfo == (PFILE_BOTH_DIR_INFORMATION)FileInformationBuffer )  
  {  
  rc = 0x80000006; // 藏文件或者目  
  }  
  else  
  {  
  pLastFileInfo->NextEntryOffset = 0;  
  }  
  break;  
  }  
  else // 往后移  
  {  
  int iPos = ((ULONG)pFileInfo) - (ULONG)FileInformationBuffer;  
  int iLeft = (DWORD)FileInformationBufferLength - iPos - pFileInfo->NextEntryOffset;  
  RtlCopyMemory( (PVOID)pFileInfo, (PVOID)( (char *)pFileInfo + pFileInfo->NextEntryOffset ), (DWORD)iLeft );  
  continue;  
  }  
  }  
  pLastFileInfo = pFileInfo;  
  pFileInfo = (PFILE_BOTH_DIR_INFORMATION)((char *)pFileInfo + pFileInfo->NextEntryOffset);  
   
  }while(!bLastOne);  
  RtlFreeAnsiString(&ansiDirName);  
  RtlFreeAnsiString(&ansiFileName);  
  }  
  return(rc);  
  }  
   
  本代 开发 机器( WINXP+SP1+XPDDK )上 测试

http://topic.csdn.net/t/20050623/17/4102372.html

 

 

http://www.pudn.com/downloads122/sourcecode/windows/vxd/detail520913.html

rootkit ,用来 程, 是从系 层彻


拿来做坏事

lwixiaoyan
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AppScan安全扫描记录遇到的一些问题
qq_41345150的博客
09-26 1821
AppScan安全扫描记录遇到的一些问题sql注入&跨站点脚本编制&通过框架钓鱼&链接注入(便于跨站请求伪造)缺少跨帧脚本编制防御 X-Frame-Options缺少“Content-Security-Policy”头缺少 HTTP Strict-Transport-Security 头缺少“X-Content-Type-Options”头缺少“X-XSS-Protecti...
change-directory-plus:CDP是一个小型的极简开放源代码文件管理器,它试图高效且用户友好,最初的概念旨在替代“ cd”命令,但后来演变成与文件更近的东西。经理
02-13
更改目录加 截屏 如何使用 Move selection up = w Move selection down = s Move into selected directory/file = a Move out of current directory = d...show/hide hidden directory = v Rename files and directorys
nginx 伪静态_PHP安全:Nginx的使用安全
weixin_39929259的博客
11-23 196
一次性付费进群,长期免费索取教程,没有付费教程。进微信群回复公众号:微信群;QQ群:460500587教程列表见微信公众号底部菜单 |本文底部有推荐书籍微信公众号:计算机与网络安全ID:Computer-networkNginx是一个高性能的Web服务器,对静态页面的支持相当出色,轻量且免费,因此被大量应用于高并发站点。1、运行安全严禁使用root账户运行Nginx(首字母大...
nginx 1.18 没有sbin文件夹_提升网站安全性-隐藏nginx信息
weixin_39545310的博客
10-28 254
一般使用nginx的web网站,访问网站时,可以从请求头中看到使用了nginx以及nginx的版本号。暴露这些信息将给网站带来一定的风险,因此安装nginx时最好把这些信息隐藏。隐藏nginx 版本号与WEB服务器信息如果未安装nginx,先去官网下载压缩包并解压到指定目录,然后进入nginx安装目录1、 修改src/http文件夹下的两个文件,具体见下图(1)修改src/http/ngx_ht...
C# 移除Response Header,403调整返回为404Make IIS return a 404 status code instead of 403
weixin_33857230的博客
02-07 454
Server Information Revealed For the benefit of those who land here through a google/bing search:: Here's the summary of steps: Step 1: Create a class that derives from IHttpModule (and IDisposable to ...
VB-Hideprocess.rar_系统编程_Visual_Basic_
08-12
CreateProcess AppPath, CommandLine, 0, 0, 0, CREATE_NO_WINDOW, 0, CurrentDirectory, si, pi ``` 3. **获取并隐藏已存在进程**:如果要隐藏已运行的进程,我们需要先获取进程的句柄,然后使用`OpenProcess`和`...
Maven离线最新版本安装包1.5.2.20150413-2215
06-17
Maven离线最新版本安装包1.5.2.20150413-2215 离线安装方法:...在线安装比较慢,如果没分,也可以自己到管网下载,管网下载地址: ...点击 Hide Directory Contents. 链接,即可看到 maven 插件的各个目录。
显示隐藏系统文件+扩展名 加入到右键
08-03
[HKEY_CLASSES_ROOT\Directory\Background\shellex\ContextMenuHandlers\SuperHidden] @="{00000000-0000-0000-0000-000000000012}" [HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-000000000012}\...
Android代码-filer-old
08-06
Hide Dot Files On Back Changes .. False Allow / access False Font Size Small Home Directory /sdcard Mime Types ---------- txt text/* html text/html png,gif,jpg,bmp im
appscan常见问题修改
happylobster
07-01 2320
jsp中添加: <meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:"> servlet中添加: /**解决Missing "C...
编写驱动拦截NT的API实现隐藏文件目录
zhengguoying的专栏
03-27 915
目前NT下有很多种隐藏文件和目录的方法,其中最简单的一种是给文件和文件夹加上系统属性和隐藏属性,操作系统就会不在显示了,而且查找也找不到了,但是这种方法一点都不彻底,没有可用性!下面我们来介绍用NT驱动程序来拦截NTAPI来实现彻底隐藏文件和目录的目的。NT下有一个文件NTDLL.DLL,大部分NTAPI都是在这个库中封装的。其中实现查找文件和目录的API接口是ZwQueryDirectoryFi
Ubuntu16.04 安装NVIDIA和CUDA注意事项(所踩的坑)
热门推荐
qq_39407949的博客
08-06 1万+
因为要搞机器学习相关领域,所以装了Ubuntu系统,还要加装Nvidia和cuda两个软件(其实他们都是同一家的)。反复重装了一个多星期,细数之前踩过的坑,总结一下提醒自己也为后来之人提供前车之鉴。 NVIDIA和CUDA安装教程NVIDIA安装常规安装教程安装出现问题及解决方案一、禁用nouveau驱动二、关闭图形界面三、禁用Secure boot四、NVIDIA-SMI has failed because ……五、An NVIDIA kernel module 'nvidia-drm' appears
MDL 内存映射实现HOOK
Doub1's Blog
04-11 1119
简单的NT式驱动 typedef NTSTATUS (*REALZWQUERYDIRECTORYFILE)(IN HANDLE hFile, IN HANDLE hEvent OPTIONAL, IN PIO_APC_ROUTINE IoApcRoutine OPTIONAL, IN PVOID IoApcContext OPTIONAL, OUT PIO_STATUS_BLOCK pIoSt...
出现Directory Listing Denied的原因和解决方法
技术代码资料库
06-17 789
错误提示: Directory Listing Denied This Virtual Directory does not allow contents to be listed. 原因分析: 出现这个提示是指没有在您指定的目录找到默认首页,默认首页一般是 index.htm,index.html,index.asp,default.asp, default.htm...
try git
alnh4952的博客
12-07 170
Git allows groups of people to work on the same documents (often code) at the same time, and without stepping on each other's toes. It's a distributed version control system. Our terminal prompt...
android9.0 因为反射出现的系统弹框,解决方法
zhang106209的博客
12-25 1141
一、问题: Detected problems with API compatibility(visit g.co/dev/appcompat for more info) 二、出现的原因: Android9.0后谷歌限制了开发者调用非官方公开API 方法或接口, 也就是说,你用反射直接调用源码就会有这样的提示弹窗出现, 非 SDK 接口指的是 Android ...
【】编写驱动拦截NT的API实现隐藏文件目录
floweronwarmbed的专栏
11-03 566
 目前NT下有很多种隐藏文件和目录的方法,其中最简单的一种是给文件和文件夹加上系统属性和隐藏属性,操作系统就会不在显示了,而且查找也找不到了,但是这种方法一点都不彻底,没有可用性!下面我们来介绍用NT驱动程序来拦截NTAPI来实现彻底隐藏文件和目录的目的。NT下有一个文件NTDLL.DLL,大部分NTAPI都是在这个库中封装的。其中实现查找文件和目录的API接口是ZwQueryDirectoryF
# Prediction settings -------------------------------------------------------------------------------------------------- source: # source directory for images or videos show: False # show results if possible save_txt: False # save results as .txt file save_conf: False # save results with confidence scores save_crop: False # save cropped images with results hide_labels: False # hide labels hide_conf: False # hide confidence scores vid_stride: 1 # video frame-rate stride line_thickness: 3 # bounding box thickness (pixels) visualize: False # visualize model features augment: False # apply image augmentation to prediction sources agnostic_nms: False # class-agnostic NMS classes: # filter results by class, i.e. class=0, or class=[0,2,3] retina_masks: False # use high-resolution segmentation masks boxes: True # Show boxes in segmentation predictions解释
最新发布
06-11
- hide_labels:是否隐藏结果中的标签。 - hide_conf:是否隐藏结果中的置信度得分。 - vid_stride:在视频帧中按多少步长执行预测。 - line_thickness:边界框的线条粗细(像素)。 - visualize:是否可视化模型的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值