|
[原创]发个命令行工具SysFile
谢谢..的确操作界面不是很好....文件部分今天加了点功能...把文件的一些信息也打印出来.. 效果.... 输入命令 : Input > dir c:\ dir 2007-09-13 11:23 <DIR> Downloads 2007-09-13 10:33 <DIR> RECYCLER 2007-09-13 17:47 4096 $AttrDef 2007-09-13 17:47 0 $BadClus 2007-09-13 17:47 458752 $Bitmap 2007-09-13 17:47 8192 $Boot 2007-09-13 17:47 <DIR> $Extend 2007-09-13 17:47 67108864 $LogFile 2007-09-13 17:47 86474752 $MFT 2007-09-13 17:47 4096 $MFTMirr 1601-01-01 08:00 0 $Secure 2007-09-13 17:47 131072 $UpCase 2007-09-13 17:47 0 $Volume 2007-09-13 17:47 <DIR> . 2007-09-13 10:02 0 AUTOEXEC.BAT 2008-07-20 17:29 <DIR> Beyond 2007-09-13 17:52 216 boot.ini 2007-11-14 12:18 216 BOOT.INI.backup 2007-03-14 13:23 323584 bootfont.bin 2008-09-03 12:04 512 bootkit 2008-07-19 09:36 <DIR> Chapter07 2007-10-18 11:47 <DIR> Config.Msi 2007-09-13 10:02 0 CONFIG.SYS 难操作的应该是HIVE部分......... |
|
[原创]发个命令行工具SysFile
根据文件路径找到文件索引 ..根据文件索引读MFT记录...判断文件还是目录..下面有一大堆数据结构..可以直接打出文件名的... 比如你需要的应该是 typedef struct { ULONGLONG DirectoryFileReferenceNumber; ULONGLONG CreationTime; // Saved when filename last changed ULONGLONG ChangeTime; // ditto ULONGLONG LastWriteTime; // ditto ULONGLONG LastAccessTime; // ditto ULONGLONG AllocatedSize; // ditto ULONGLONG DataSize; // ditto ULONG FileAttributes; // ditto ULONG AlignmentOrReserved; UCHAR NameLength; UCHAR NameType; // 0x01 = Long, 0x02 = Short WCHAR Name[1]; } FILENAME_ATTRIBUTE, *PFILENAME_ATTRIBUTE; |
|
[原创]发个命令行工具SysFile
[QUOTE=doking;513902]和楼上的一样,dir 后崩溃 f5 后好像是这句有问题 在fread()函数中 (FILE->_flag& 0x10c ) .. test word ptr [esi+0Ch],10Ch ds:0023:0000000c=???? 就是这句有问题! 00405847 7408 ...[/QUOTE] 要输入dir d:\ 之类的..不能输入dir一个命令 谢谢doking... |
|
[原创]发个命令行工具SysFile
无码是什么意思啊.... |
|
[原创]发个命令行工具SysFile
不是代替...只是作为一个技术工具...实验的....实用倒不是实用..因为控制台界面很难看...但的确可以用来检测ROOTKIT |
|
[求助]哪个函数调用ISR [已解决]
KiDispatchException好像... |
|
[求助]HOOK ObjectType 干涉文件访问
其实很好检测.....自己解释PDB或者麻烦点读原始内核文件.... |
|
[原创]兵刃部分功能实现
IS过时了..... |
|
[求助]HOOK ObjectType 干涉文件访问
应该说真正的牛人都浅水,....看不到..只有学生比较有时间出来 |
|
[求助] 如何通过句柄获取pid?
_SYSTEM_HANDLE_INFORMATION |
|
[推荐]内存清零KILL进程
呵呵。。。感觉APC没有这种方法的强大。。支持个 |
|
[转帖]远程卸载DLL代码
MS就是从我那里转的 http://hi.baidu.com/sysnap/blog/item/c535d30f1802e12f6159f31f.html 呵呵。。。其实这只是RING3的。。。不过现在是用MM系列来卸载DLL了 |
|
[讨论]关于恢复内核函数
特征码搜索整个内核空间不好用。。。移植性不好。。。最好由导出的搜没导出的。。因为一般这些接口不变。。搜索相对稳定。。另外PspCidTable不用搜就可以直接获取。。好像是那个PSOBJECTYPE一个偏移获得。。。 |
|
[求助]写了个笨笨的文件过滤驱动,请教如何过滤才能禁止访问又能够安全卸载U盘?
等个,,...考完试再看看 |
|
[原创]在2003中绕过IS的ZwQueryVirtualMemory
呵呵.....断链+抹_FILE_OBJECT+抹PE相关信息.....这样效果不错滴...再来个ring0注DLL |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值