|
|
|
[分享]ring0插APC注入dll
不错,期待有人发个X64的 |
|
|
|
|
|
我晕,关于sfilter做文件夹保护的问题
是啊哈哈,分肯定会散的,但是文件创建成功后又用IoCancelFileOpen取消创建,这种是在什么情况下使用 |
|
[求助]我晕,关于sfilter做文件夹保护的问题
那什么时候需要取消创建呢 |
|
我晕,关于sfilter做文件夹保护的问题
多谢大牛提点,确实是流程问题,新手初学,原来这里这么讲究哈,对文件夹属性下手?那是什么,IRP_MJ_DIRECTORY_CONTROL? |
|
[求助]我晕,关于sfilter做文件夹保护的问题
嗯,多谢提点,我研究下IoCancelFileOpen |
|
[求助]我晕,关于sfilter做文件夹保护的问题
将代码移到IoCallDriver之前,确实解决了创建1000个文件的问题~~ |
|
[求助]我晕,关于sfilter做文件夹保护的问题
其实也没,我不知道在等待完成例程完成后是不是就是在postcreate里面,新手不懂啊 if (FlagOn( SfDebug, SFDEBUG_DISPLAY_CREATE_NAMES | SFDEBUG_DO_CREATE_COMPLETION ) && !FlagOn(devExt->Flags,SFDEVFL_DISABLE_VOLUME)) { KEVENT waitEvent; KeInitializeEvent( &waitEvent, NotificationEvent, FALSE ); IoCopyCurrentIrpStackLocationToNext( Irp ); IoSetCompletionRoutine( Irp, SfCreateCompletion, &waitEvent, TRUE, TRUE, TRUE ); status = IoCallDriver( devExt->NLExtHeader.AttachedToDeviceObject, Irp ); if (STATUS_PENDING == status) { NTSTATUS localStatus = KeWaitForSingleObject( &waitEvent, Executive, KernelMode, FALSE, NULL ); ASSERT(STATUS_SUCCESS == localStatus); } ASSERT(KeReadStateEvent(&waitEvent) || !NT_SUCCESS(Irp->IoStatus.Status)); if (fileName != NULL) { RtlInitUnicodeString(&filter_string,PROTECTED); CreateOptions = ((irpSp->Parameters.Create.Options>>24)&0x000000ff); if (CreateOptions == FILE_CREATE || CreateOptions == FILE_OPEN_IF || CreateOptions == FILE_OVERWRITE || CreateOptions == FILE_OVERWRITE_IF/*||CreateOptions == FILE_SUPERSEDE*/) { SF_LOG_PRINT( SFDEBUG_DISPLAY_CREATE_NAMES, ("SFilter!SfCreate: OPENED fo=%p %08x:%08x %wZ\n", irpSp->FileObject, Irp->IoStatus.Status, Irp->IoStatus.Information, &fileName->Name) ); if (wcsstr(fileName->Name.Buffer,filter_string.Buffer)) { KdPrint(("SFilter!SfCreate: hollyshit !\n")); Irp->IoStatus.Status = STATUS_ACCESS_DENIED; Irp->IoStatus.Information = 0; IoCompleteRequest(Irp, IO_NO_INCREMENT); return STATUS_ACCESS_DENIED; } NLFreeNameControl( fileName, &gSfNameBufferLookasideList ); } status = Irp->IoStatus.Status; IoCompleteRequest( Irp, IO_NO_INCREMENT ); return status; } 其实我这里就没加几行代码 |
|
[求助]我晕,关于sfilter做文件夹保护的问题
没啊,我没用minifilter,也没在完成历程中拦截啊,不过我确实是在等待完成历程完成后拦截 |
|
想买一个VMPROTECT,请问下这个软件支持GCC编译的程序吗
破解版和正版明显有差别,破解版会被报水印,而且往往不是最新版的,企业根本不建议花199美元买个正版的 |
|
[求助]minifitler预打开文件!
哥们,是创建了1000个文件吧,0到999 |
|
[原创]自己写的一个为可执行文件注入代码的API,使用超级方便
用asm的nop申请地址的代码,在X64下怎么处理啊。。不支持内联汇编啊 |
|
[求助]我晕,关于sfilter做文件夹保护的问题
还有我已经将驱动unload了,怎么还是有保护。。 |
|
我晕,关于sfilter做文件夹保护的问题
还有我已经将驱动unload了,怎么还是有保护。。 |
|
|
|
[招聘]长沙灿和星网络科技诚聘网络安全技术人员
外挂啊。。20K--30K吧,月薪。。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值