隐藏文件夹的功能(系统api的拦截)

最新推荐文章于 2022-09-08 11:02:50 发布
最新推荐文章于 2022-09-08 11:02:50 发布
阅读量160 收藏 1
点赞数
文章标签: 操作系统
我看到网上有的程序由隐藏文件夹的功能,设置之后,选则工具——文件夹选项——显示所有文件和文件夹都不能显示,这是如何做到的呀?  
---------------------------------------------------------------  
 
编写驱动拦截NT的API实现隐藏文件目录  
目前NT下有很多种隐藏文件和目录的方法,其中最简单的一种是给文件和文件夹加上系统属性和隐藏属性,操作系统就会不在显示了,而且查找也找不到了,但是这种方法一点都不彻底,没有可用性!下面我们来介绍用NT驱动程序来拦截NTAPI来实现彻底隐藏文件和目录的目的。NT下有一个文件NTDLL.DLL,大部分NTAPI都是在这个库中封装的。其中实现查找文件和目录的API接口是ZwQueryDirectoryFile,所以我们只要拦截这个API的话,文件和目录就可以完全隐藏了!下面来一步不实现(准备工作:到NTDDK中找一个WDM驱动程序模型,也就是最简单的驱动程序了):  
 
         1.定义FILE_INFORMATION_CLASS的第3号结构:_FILE_BOTH_DIR_INFORMATION,这个结构是ZwQueryDirectoryFile必须参数。  
 
typedef  struct  _FILE_BOTH_DIR_INFORMATION  {  
       ULONG                      NextEntryOffset;  
       ULONG                      FileIndex;  
       LARGE_INTEGER      CreationTime;  
       LARGE_INTEGER      LastAccessTime;  
       LARGE_INTEGER      LastWriteTime;  
       LARGE_INTEGER      ChangeTime;  
       LARGE_INTEGER      EndOfFile;  
       LARGE_INTEGER      AllocationSize;  
       ULONG                      FileAttributes;  
       ULONG                      FileNameLength;  
       ULONG                      EaSize;  
       CCHAR                      ShortNameLength;  
       WCHAR                      ShortName[12];  
       WCHAR                      FileName[1];  
}  FILE_BOTH_DIR_INFORMATION,  *PFILE_BOTH_DIR_INFORMATION;  
 
   
 
2.先申明ZwQueryDirectoryFile,然后定义ZwQueryDirectoryFile的原型:  
 
extern  NTSYSAPI  NTSTATUS  NTAPI  ZwQueryDirectoryFile(  
                         IN  HANDLE  hFile,  
                         IN  HANDLE  hEvent  OPTIONAL,  
                         IN  PIO_APC_ROUTINE  IoApcRoutine  OPTIONAL,  
                         IN  PVOID  IoApcContext  OPTIONAL,  
                         OUT  PIO_STATUS_BLOCK  pIoStatusBlock,  
                         OUT  PVOID  FileInformationBuffer,  
                         IN  ULONG  FileInformationBufferLength,  
                         IN  FILE_INFORMATION_CLASS  FileInfoClass,  
                         IN  BOOLEAN  bReturnOnlyOneEntry,  
                         IN  PUNICODE_STRING  PathMask  OPTIONAL,  
                         IN  BOOLEAN  bRestartQuery);  
 
//定义ZwQueryDirectoryFile的原型  
 
typedef  NTSTATUS  (*REALZWQUERYDIRECTORYFILE)(IN  HANDLE  hFile,  
                       IN  HANDLE  hEvent  OPTIONAL,  
                       IN  PIO_APC_ROUTINE  IoApcRoutine  OPTIONAL,  
                       IN  PVOID  IoApcContext  OPTIONAL,  
                       OUT  PIO_STATUS_BLOCK  pIoStatusBlock,  
                       OUT  PVOID  FileInformationBuffer,  
                       IN  ULONG  FileInformationBufferLength,  
                       IN  FILE_INFORMATION_CLASS  FileInfoClass,  
                       IN  BOOLEAN  bReturnOnlyOneEntry,  
                       IN  PUNICODE_STRING  PathMask  OPTIONAL,  
                       IN  BOOLEAN  bRestartQuery);  
 
//定义一个原函数指针  
REALZWQUERYSYSTEMINFORMATION  RealZwQuerySystemInformation;  
 
3.定义替换API函数的原型:  
 
NTSTATUS  HookZwQueryDirectoryFile(    
                   IN  HANDLE  hFile,  
                   IN  HANDLE  hEvent  OPTIONAL,  
                   IN  PIO_APC_ROUTINE  IoApcRoutine  OPTIONAL,  
                   IN  PVOID  IoApcContext  OPTIONAL,  
                   OUT  PIO_STATUS_BLOCK  pIoStatusBlock,  
                   OUT  PVOID  FileInformationBuffer,  
                   IN  ULONG  FileInformationBufferLength,  
                   IN  FILE_INFORMATION_CLASS  FileInfoClass,  
                   IN  BOOLEAN  bReturnOnlyOneEntry,  
                   IN  PUNICODE_STRING  PathMask  OPTIONAL,  
                   IN  BOOLEAN  bRestartQuery);  
 
4.在DriverEntry(驱动入口)函数中加入如下申明:  
 
//保存真正的ZwQueryDirectoryFile函数地址  
 
RealZwQueryDirectoryFile=(REALZWQUERYDIRECTORYFILE)(SYSTEMSERVICE(ZwQueryDirectoryFile));  
 
//把自定义的替换函数指针指向真正的ZwQueryDirectoryFile函数  
 
(REALZWQUERYDIRECTORYFILE)(SYSTEMSERVICE(ZwQueryDirectoryFile))=HookZwQueryDirectoryFile;  
 
5.在DriverUnload(驱动卸载函数)函数中加入恢复代码:  
 
//恢复原来的函数指针  
 
(REALZWQUERYDIRECTORYFILE)(SYSTEMSERVICE(ZwQueryDirectoryFile))=RealZwQueryDirectoryFile;  
 
6.现在准备工作做好了,函数指针都已经设置转向了,剩下的是实现这个我们自定义的替换函数HookZwQueryDirectoryFile,代码如下:  
 
NTSTATUS  HookZwQueryDirectoryFile(  
       IN  HANDLE  hFile,  
       IN  HANDLE  hEvent  OPTIONAL,  
       IN  PIO_APC_ROUTINE  IoApcRoutine  OPTIONAL,  
       IN  PVOID  IoApcContext  OPTIONAL,  
       OUT  PIO_STATUS_BLOCK  pIoStatusBlock,  
       OUT  PVOID  FileInformationBuffer,  
       IN  ULONG  FileInformationBufferLength,  
       IN  FILE_INFORMATION_CLASS  FileInfoClass,  
       IN  BOOLEAN  bReturnOnlyOneEntry,  
       IN  PUNICODE_STRING  PathMask  OPTIONAL,  
       IN  BOOLEAN  bRestartQuery)  
{  
 NTSTATUS  rc;  
 ULONG  CR0VALUE;  
   
 ANSI_STRING  ansiFileName,ansiDirName,HideDirFile;  
 UNICODE_STRING  uniFileName;  
   
 //初始化要过虑的文件名这里是debug.exe  
 RtlInitAnsiString(&HideDirFile,"DBGVIEW.EXE");    
   
 //  执行真正的ZwQueryDirectoryFile函数  
 rc  =  ((REALZWQUERYDIRECTORYFILE)(RealZwQueryDirectoryFile))(  
   hFile,    
   hEvent,  
   IoApcRoutine,  
   IoApcContext,  
   pIoStatusBlock,  
   FileInformationBuffer,  
   FileInformationBufferLength,  
   FileInfoClass,  
   bReturnOnlyOneEntry,  
   PathMask,  
   bRestartQuery);  
     /*如果执行成功(而且FILE_INFORMATION_CLASS的值为FileBothDirectoryInformation,我们就进行处理,过滤*/  
       if(NT_SUCCESS(rc)&&  (FileInfoClass  ==  FileBothDirectoryInformation))  
 {  
   PFILE_BOTH_DIR_INFORMATION  pFileInfo;  
   PFILE_BOTH_DIR_INFORMATION  pLastFileInfo;  
   BOOL  bLastOne;  
   //把执行结果赋给pFileInfo    
   pFileInfo  =  (PFILE_BOTH_DIR_INFORMATION)FileInformationBuffer;    
   pLastFileInfo  =  NULL;  
   //循环检查  
   do  
   {  
     bLastOne  =  !(  pFileInfo->NextEntryOffset  );  
     RtlInitUnicodeString(&uniFileName,pFileInfo->FileName);  
     RtlUnicodeStringToAnsiString(&ansiFileName,&uniFileName,TRUE);  
     RtlUnicodeStringToAnsiString(&ansiDirName,&uniFileName,TRUE);  
     RtlUpperString(&ansiFileName,&ansiDirName);  
     //打印结果,用debugview可以查看打印结果  
     DbgPrint("ansiFileName  :%s\n",ansiFileName.Buffer);  
     DbgPrint("HideDirFile  :%s\n",HideDirFile.Buffer);  
       
     //  开始进行比较,如果找到了就隐藏这个文件或者目录  
     if(  RtlCompareMemory(ansiFileName.Buffer,HideDirFile.Buffer,HideDirFile.Length  )  ==  HideDirFile.Length)  
     {  
       DbgPrint("This  is  HideDirFile!\n");  
       if(bLastOne)    
       {  
         if(pFileInfo  ==  (PFILE_BOTH_DIR_INFORMATION)FileInformationBuffer  )  
         {  
           rc  =  0x80000006;  //隐藏文件或者目录;  
         }  
         else  
         {  
           pLastFileInfo->NextEntryOffset  =  0;  
         }  
         break;  
       }    
       else  //指针往后移动  
       {  
         int  iPos  =  ((ULONG)pFileInfo)  -  (ULONG)FileInformationBuffer;  
         int  iLeft  =  (DWORD)FileInformationBufferLength  -  iPos  -  pFileInfo->NextEntryOffset;  
         RtlCopyMemory(  (PVOID)pFileInfo,  (PVOID)(  (char  *)pFileInfo  +  pFileInfo->NextEntryOffset  ),  (DWORD)iLeft  );  
         continue;  
       }  
     }  
     pLastFileInfo  =  pFileInfo;  
     pFileInfo  =  (PFILE_BOTH_DIR_INFORMATION)((char  *)pFileInfo  +  pFileInfo->NextEntryOffset);  
       
   }while(!bLastOne);  
   RtlFreeAnsiString(&ansiDirName);    
   RtlFreeAnsiString(&ansiFileName);  
 }  
 return(rc);  
}  
 
本代码在开发机器(WINXP+SP1+XPDDK)上测试通过!  
 
-------------------------------------------------------------------------------  
 
感谢kugou123(酷狗)(每天学VC,补充你我的维C)  的回答。  
但是我好像发现那个程序并没有使用驱动程序。  
每次在文件夹选项中选择“显示所有文件”后,下一次再打开发现设置又被改了回去,指向“不显示隐藏文件和文件夹”(“隐藏受保护的操作系统文件”选项已经去掉)。  
我怀疑是不是有什么Hook程序在后台监控呢?  
-------------------------------------------------------------------------------  
 
从命令行中能够看到所有的文件,但就是从Explorer中不行,谁知道原因呀?  
-------------------------------------------------------------------------------  
从楼主提到的这点可以分析出来,那个程序确实采用了HOOK  API的方法,挂接了ZwQueryDirectoryFile  
之类的列举文件目录的API,如我上面提到的方法,对特定的目录进行保护,如果目录名是你需要保护的目录名,则直接return  true;如果不是,则正常调用。  
这种方法的缺点,就是对CMD模式下的dir命令无效,因为dir命令没有调用该API,所以能看到,但是在桌面环境下看不见受保护的文件目录。  
-------------------------------------------------------------------------------  
问题解决了!  
在注册表键HKEY_LOCAL_MA
weixin_33777877
关注
winapi 删除给定目录下的文件及文件夹
08-21
用 windows api 删除给定目录下的文件及文件夹,filesystem 类的 deletefile,removeDirectory,findFirstFile,findNextFile,递归删除
HOOK API 实现文件隐藏 源代码
05-08
本人结合HOOK API和远程线程技术实现的一个简单的文件隐藏程序,在应用层实现文件隐藏
编写驱动拦截NT的API实现隐藏文件目录
TaShin的专栏
09-23 1539
      目前NT下有很多种隐藏文件和目录的方法,其最简单的一种是给文件和文件夹加上系统属性和隐藏属性,操作系统就会不在显示了,而且查找也找不到了,但是这种方法一点都不彻底,没有可用性!下面我们来介绍用NT驱动程序来拦截NTAPI来实现彻底隐藏文件和目录的目的。NT下有一个文件NTDLL.DLL,大部分NTAPI都是在这个库封装的。其实现查找文件和目录API接口是ZwQueryDirec
WINDOWS API学习笔记之获取文件属性和设置文件隐藏
王二娃的生活的博客
08-25 2115
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式## windows API学习笔记之获取文件属性和设置文件隐藏## UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctr
实现系统通知拦截功能的 App.zip
09-24
3. **通知过滤**:为了实现拦截功能,我们需要定义规则来决定哪些通知应该显示,哪些应该被隐藏。这可以通过分析通知的`StatusBarNotification`对象来实现,比如检查通知的包名、频道ID、通知标题等信息。 4. **...
无忧隐藏(窗口隐藏-文件夹隐藏-进程隐藏工具软件)
12-27
无忧隐藏是一款专业的系统工具软件,主要功能包括窗口隐藏文件夹隐藏以及进程隐藏,为用户提供了一种便捷的方式来保护个人隐私和敏感数据。下面将详细解释这些功能及其背后的原理和技术。 1. **窗口隐藏**:窗口...
无踪文件夹隐藏工具
09-15
它允许开发者拦截并修改其他程序对系统API(应用程序接口)的调用,从而实现各种定制功能,如监控、调试或如本例隐藏行为。在"无踪文件夹隐藏工具"APIHOOK被用来修改系统对文件和文件夹的显示逻辑,使得指定...
HideProcess完结篇.zip_c++ 进程隐藏_c++隐藏进程_隐藏进程_隐藏驱动_驱动隐藏进程
07-15
1. **钩子技术**:通过安装系统钩子(如WH_CALLWNDPROC、WH_GETMESSAGE等)来拦截和处理系统消息,使得目标进程不被其他程序检测到。 2. **注册表操作**:修改注册表键值以隐藏进程在任务管理器的显示,例如更改`...
linux打开文件及关闭,Linux的文件操作API涉及创建,打开,读取,写入和关闭文件...
weixin_36149538的博客
04-29 255
其他人可以读取,写入和执行S_ISUID设置用户执行IDS_ISGID设置组的执行ID除了使用上述宏生成“或”逻辑外,我们还可以使用数字表示自己. Linux总共使用5个数字来表示文件的各种权限: 第一个数字表示已设置的用户ID;第二个数字表示已设置的用户ID. 第二位指示设置的组ID;第三位表示用户自己的权限位;第四位表示该组的许可;最后一位表示他人的权限. 每个数字可以取1(执行许可),2(...
windowsAPI实现基本文件操作
08-23
通过调用windowsAPI CreateFile ReadFile 读取写入文件~
有关几个WINDOWS隐藏文件的的问题
magictong的专栏
11-30 2604
       最近有几个同学和朋友问到我关于Windows里面几个隐藏文件的问题,我收集了一些资料结合自己的经验,特整理如下:  pagefile.sys  是个系统文件(在Windows 98下为Win386.swp),它的大小经常自己发生变动,小的时候可能只有几十兆,大的时候则有数百兆,所以不必怀疑,pagefile.sys是Windows下的一个虚拟内存,它的作用与物理内存基本相似,但它是作
关于如何隐藏网站项目目录结构的问题
silk_java的专栏
06-03 3056
在自己配置虚拟主机的配置文件有这么一段话 ServerName web.silk.com DocumentRoot "D:/www/silk/" ErrorLog "logs/shop.local-error.log" CustomLog "logs/shop.local-access.log" common    Options  +FollowSymLinks +ExecC
JAVA让Swagger产出更加符合我们诉求的描述文档,按需决定显示或者隐藏指定内容
是Vzn呀
09-08 1326
swagger作为一个被广泛使用的在线接口文档辅助工具,上手会用很容易,但想用好却还是需要一定功夫的。所以呢,本篇文档就和大家一起来聊一聊如何用好swagger,让其真正的成为项目的神兵利器。
【程序安全】- 接口地址隐藏
Brooks Lv
02-01 7214
理解:比如秒杀或抢购场景,如果用户提前知道了接口地址,就可能出现狂刷接口的现象,为了防止这种情况发生,最好的方法就是不让用户获取到秒杀接口地址。有一种实现方式就是隐藏接口地址,所谓的隐藏是指,秒杀地址每次都是不同的,而且在地点秒杀按钮后,会先调用后端接口获取一个pathId,然后传回前端,拼接在秒杀接口上,再请求秒杀接口地址,这样每次点击按钮后,才会生成真正的秒杀接口地址。 好处:可以防止接口泄...
Swagger隐藏API
easyboot的专栏
03-24 8950
在使用Swagger需要隐藏不开放的API 可以在SwaggerConfig.cs加入 /// <summary> /// 隐藏接口,不生成到swagger文档展示 /// </summary> [System.AttributeUsage(System.AttributeTargets.Method | System.A
Windows系统API Hook技术解析
"用户层下拦截系统API的原理与实现主要探讨了如何在用户模式下拦截系统API调用,这是对操作系统行为进行监控、调试或扩展的一种常见技术。本文由kiki于2006年04月14日发表,讨论了在Windows环境下通过钩子(Hook)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值