|
[分享]taskmgr.exe 结束任务
.................... |
|
[分享]taskmgr.exe 结束任务
我这边关不掉的,更新了的, |
|
[分享]taskmgr.exe 结束任务
还可以关掉吗 |
|
|
|
[分享]taskmgr.exe 结束任务
heh ,呵呵,我试下你们的,看看, |
|
[分享]taskmgr.exe 结束任务
vista以后的系统,我不想用hook了,还是试下用微软提供的框架。呵呵 |
|
|
|
[分享]taskmgr.exe 结束任务
“r3下 一个远程线程exitprocess(0)就退出了” 你自己写的demo没有hook zwopenprocess. 你能用openprocess打开AntiCrack.exe吗? |
|
[分享]taskmgr.exe 结束任务
你自己试下呗,呵呵,应用层应该都结束不了。 |
|
[分享]FileFilter文件保护
DesiredAccess Specifies an ACCESS_MASK value that determines the requested access to the object. In addition to the access rights that are defined for all types of objects (see ACCESS_MASK), the caller can specify any of the following access rights, which are specific to files: ACCESS_MASK Flag Allows Caller to Do This FILE_READ_DATA Read data from the file. FILE_READ_ATTRIBUTES Read the file's attributes. (For more information, see the description of the FileAttributes parameter.) FILE_READ_EA Read the file's extended attributes (EAs). This flag is irrelevant for device and intermediate drivers. FILE_WRITE_DATA Write data to the file. FILE_WRITE_ATTRIBUTES Write the file's attributes. (For more information, see the description of the FileAttributes parameter.) FILE_WRITE_EA Change the file's extended attributes (EAs). This flag is irrelevant for device and intermediate drivers. FILE_APPEND_DATA Append data to the file. FILE_EXECUTE Use system paging I/O to read data from the file into memory. This flag is irrelevant for device and intermediate drivers. Caution Do not specify FILE_READ_DATA, FILE_WRITE_DATA, FILE_APPEND_DATA, or FILE_EXECUTE when creating or opening a directory. The caller can only specifies a generic access right, GENERIC_XXX, for a file, not a directory. Generic access rights corresponds to specific access rights as follows: Generic Access Right Set of Specific Access Rights GENERIC_READ STANDARD_RIGHTS_READ, FILE_READ_DATA, FILE_READ_ATTRIBUTES, FILE_READ_EA, and SYNCHRONIZE. GENERIC_WRITE STANDARD_RIGHTS_WRITE, FILE_WRITE_DATA, FILE_WRITE_ATTRIBUTES, FILE_WRITE_EA, FILE_APPEND_DATA, and SYNCHRONIZE. GENERIC_EXECUTE STANDARD_RIGHTS_EXECUTE, FILE_EXECUTE, FILE_READ_ATTRIBUTES, and SYNCHRONIZE. This value is irrelevant for device and intermediate drivers. GENERIC_ALL FILE_ALL_ACCESS. //这个权限你怎么判断后续操作 If the file is actually a directory, the caller can also specify the following generic access rights: DesiredAccess Flag Allows Caller to Do This FILE_LIST_DIRECTORY List the files in the directory. FILE_TRAVERSE Traverse the directory—in other words, include the directory in the path of a file. |
|
[分享]FileFilter文件保护
The ZwCreateFile routine creates a new file or opens an existing file. ZwCreateFile 只是创建或者打开一个文件。此时并不知道后续是什么操作,有可能是读文件,也有可能是写文件。 你可能会说组ZwCreateFile的参数DesiredAccess 里判断,但是如果DesiredAccess 里指定的是所有的权限,你怎么去判断? |
|
[分享]FileFilter文件保护
在PreCreate里如何判断我随后的操作时读文件还是写文件?求解 |
|
[分享]FileFilter文件保护
删除文件为什么要判断权限? 不解 Windows下删除文件的实现方式本质上有以下两种: 1. 使用FILE_DELETE_ON_CLOSE ZwCreateFile和IoCreateFile的CreateOptions 参数可以通过使用FILE_DELETE_ON_CLOSE标志来实现删除文件的功能。顾名思义,使用此标志打开的文件在关闭时会删除该文件。 如要在文件过滤驱动中判断是否设置了FILE_DELETE_ON_CLOSE标志,只需截获IRP_MJ_CREATE请求,通过pIrpStack->Parameters.Create.Options判断即可。 2. 使用FileDispositionInformation 这种方式需要使用Native API ZwSetInformationFile,将最后一个参数FileInformationClass设置为FileDispositionInformation即可。ZwSetInformationFile的详细用法可参见DDK。Windows API中的DeleteFile就是使用这种方式实现删除文件功能的。 如需要在文件过滤驱动中监视这种方式的删除文件,只需监视IRP_MJ_SET_INFORMATION请求,通过判断pIrpStack->Parameters.SetFile.FileInformationClass是否为FileDispositionInformation且((PFILE_DISPOSITION_INFORMATION)Irp->AssociatedIrp.SystemBuffer)->DeleteFile是否为TRUE来判断是否是删除文件操作。 |
|
[分享]FileFilter文件保护
demo在前面。。。 |
|
[分享]FileFilter文件保护
楼上的兄弟,吧dump文件传来看看, |
|
[分享]FileFilter文件保护
我的哥,你想得真多。不过挺好的。感谢你的回复。 目前我在做这方面的研究,这段代码只是一个demo。 看来还是不能偷懒,需要把KasperskyPURE的驱动给解剖了。 |
|
[原创]windows驱动开发--已经入职
说这种话的人最无意义,s13一个。 |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值