|
公司安装了防泄密软件,能否绕过?
看了以上各位的想法,觉得注入可信进程的确是一个好方法 用ReadFile获得文件内容,然后通过Socket发送到网络保存,(如果没禁止注入的话,的确是一个好方法) 不过好像LZ发个帖子就消失了,然后大家在这里做各种假设,是不是没什么意义啊 |
|
[求助]FltIsDirectory引发蓝屏?
微软也有Bug的,咱们知道了不用就好了 |
|
[求助]FltIsDirectory引发蓝屏?
网上搜了一下,好像说是有Bug,不用这个函数了 |
|
公司安装了防泄密软件,能否绕过?
回楼上的,按照LZ的描述,他们安装的肯定是文件透明加密驱动了 工作原理如下: 1. 文件在打开时(或者修改时)就进行加密,也就是说安装过这个软件以后,只要打开过一次的文件,就可能变成加密后的文件了(就算卸掉驱动从硬盘Copy也是密文) 2. 在安装过该软件的电脑上,打开该文件,驱动会自动进行解密(这个时候在内存为明文,不过也别想能Copy出来,肯定做了限制)(更不用说不说双缓冲技术实现的了) 破解方法: 1. 找到并卸载该软件,这样以后操作过的文件都不会再加密了,不过对于之前加密过的文件无效 2. 在其他电脑上安装防泄密软件,这样他会自动解密(不过这个好像不是破解了,呵呵) 3. 也就是LS你说的,破解软件中的加密算法,自己写一个解密算法, 4. 至于你说的虚拟内存,没研究过,没发言权了 总结,如果仅仅想要无效化该软件,方法有很多,卸载掉可能是最简单的方法了 但是如果要得到之前已经加密的文件,好像只能破解加密算法了,或者软件自己留了后门,被你发现了, |
|
|
|
[原创]在内核驱动中,获得到当前进程的全路径
新手区到底有多冷啊,发个帖子,居然还是零回复 |
|
[原创]FltDetachVolume问题
那你就没试试 先 attach ,再 Dereference ,deattach ? |
|
|
|
[原创]FltDetachVolume问题
那你把上面那个代码注释掉是不是可以关机? |
|
[原创]FltDetachVolume问题
自己看看有什么资源没有释放 |
|
[原创]windows安全驱动开发(基于框架的HOOK)
这个刚才还专门去试了一下,对于.txt格式的文件倒是可以实现,但是对于.doc这种写操作在临时文件中来说,判断起来比较麻烦,还必须把临时文件也给禁止了 不过,我原来采用了一个微软的漏洞来实现文件的“只读”功能,这里利用到了一些系统保留的标志位,如果保留位被置1,则系统会将文件以“只读”权限打开(这里只是我个人的猜测,欢迎各位大侠给出更合理的解释) Data->Iopb->Parameters.Create.SecurityContext->DesiredAccess |=0x1000; |
|
[原创]web程序员发一个简单的看雪挂机方法
注册N年了,还没转正,表示关注一下
|
|
[求助][Minifilter]文件过滤驱动,怎么禁用把本地文件复制到网络共享中?麻烦大家给点思路,万分感谢
回楼上的,这个simrep的例子我看了一下,发现是关于文件重定向的, 好像跟我的问题没大多的关系,可能我没有理解你的意图?请问你让我看这个是参考什么地方? |
|
[求助][Minifilter]文件过滤驱动,怎么禁用把本地文件复制到网络共享中?麻烦大家给点思路,万分感谢
FileObject相同就可以认为是一个文件的同一次打开了吧? 至于向网络盘新建文件,这个肯定是已经做过的,只是不符合上面第3点的要求啊 |
|
关于频繁读写INI配置文件CPU过高,求帮忙!
这边人倒是挺多的,我在新手区问了一个问题,但是每一个人回复, http://bbs.pediy.com/showthread.php?p=1084833&posted=1#post1084833 郁闷啊,没有邀请码,在这边发不了帖子,大家谁能帮忙回答下,或者帮我转发一下,谢谢 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值