blocker
1.0.0.8
2003-10-15,sunwang
一、功能:
1.隐藏任意文件/目录
2.禁止访问任意文件/目录
3.隐藏任意注册表子键
4.禁止访问任意注册表子键
5.隐藏任意进程[NT系列]
6.自启动任意进程[95系列]
7.自定义可信赖进程(可以访问被保护的文件/目录,和/或者子键),并采用CRC32校验
二、安装卸载
1.install.exe-->install/uninstall
2.config/delete rules
3.reboot
三、规则说明
1.每条规则必须已回车符结束
2.规则库文件名必须为blocker.txt,并放置在c盘根目录下
3.通用规则说明
drv_<type>;<flags>;<name>
type:file,reg,trust
flags:D,H,I
name:filename,registry keyname
对于一个保护项,如果有多个规则匹配上,那么只有最后一个规则生效。
4.文件保护规则
drv_file;[DHI];filename
D:("deny") forbid removal or modification of this file
H:("hide") act like the file does not exist; does not show up in directory listings, requests to open, etc. give "file not found" errors
I:("invisible"; Windows NT only) hide programs launched from this EXE file in the task list
The filename parameter may be a MS-DOS-style wildcard pattern, using the * character to match zero or more unknown characters, and the ? character to match one unknown character.
例子:
drv_file;DH;C:/WINDOWS/*.EXE
drv_file;;C:/WINDOWS/CALC.EXE
driv_file;;C:/WINDOWS/NOTEPA?.EXE
将隐藏并禁止访问c:/windows下所有的exe,除了calc.exe,和前面6个字母为NOTEPA的exe外。
5.注册表保护规则
drv_reg;[DH];keyname
refer to drv_file
例子:
drv_file;DH;HKEY_LOCAL_MACHINE/SOFTWARE/Borland
将隐藏并禁止访问HKEY_LOCAL_MACHINE/SOFTWARE/Borland
6.可信赖进程规则
drv_trust;[FR];CRC32;filename
F:trusted for accessing file
R:trusted for accessing registry
CRC32:CRC32 check value of the process,用*代替,那么驱动就不进行CRC32校验
filename:refer to drv_file
例子:
drv_trust;F;B5DEE930;E:/iSoftRD/Project/MMXGuard/Release/MMXGuard/MMXShell.exe
MMXShell.exe将可以访问所有的文件
drv_trust;FR;B5DEE930;E:/iSoftRD/Project/MMXGuard/Release/MMXGuard/MMXShell.exe
MMXShell.exe将可以访问所有的文件和所有的注册表
drv_trust;FR;*;E:/iSoftRD/Project/MMXGuard/Release/MMXGuard/MMXShell.exe
MMXShell.exe将可以访问所有的文件和所有的注册表
7.95系列下特殊功能
gen_sched;file.exe
file.exe将在系统启动时,自动启动。
只能启动一个exe,如果有多个规则,最后一个生效。
8.NT系列下特殊功能
drv_file;I;filename
可以隐藏进程
9.NT下hide 文件/注册表后,不影响文件/注册表操作
例子:
drv_file;H;D:/WINNT/notepad.exe//hide notepad.exe
drv_reg;H;HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run//autorun notepad.exe
drv_trust;R;2A724145;D:/WINNT/explorer.exe//explorer.exe可以访问registry,这样auto项就可以load
将仍然能自启动notepad.exe,但是registry将hide,file将hide
例子:
drv_file;H;D:/WINNT/notepad.exe//hide notepad.exe
drv_reg;H;HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run//autorun notepad.exe
经过测试,就这样也可以:registry将hide,file将hide
10.95下隐藏文件/注册表后,不影响文件/注册表操作
refer to 9,please
四:bug/requirement
1.[95,NT]只能hide subkey,如
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
不能hide key
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/test
2.[95]进程如果带参数运行,那么可信赖进程可能失败
3.[95]那么可信赖进程的表示法为长路径,可能失败
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
