|
[求助]想用minifilter实现u盘的禁用或只读,该怎么着手?
saloyun 其实我很想给你提示,但是作为前ipguard成员,我硬生生的忍住了。。。忍着也好, 我这边已经找到办法去搞了, 就是注入一坨dll到所有进程, HOOK拷贝文件的普通API和COM的API, 没什么高科技, 老大说别人怎么做我们就怎么做, 那就做呗 |
|
[求助]自己写的驱动需要开机启动, 如果蓝屏就是无限蓝, 有没有什么措施?比如driverentry里面判断上一次蓝了这次就啥也不干退出
我需要在用户电脑上做, 用户肯定不会想到安全模式, 希望正常模式蓝一次之后下次不蓝。能做吗? |
|
[求助]GetProcAddress回传回来的不是我要的函数地址
你这是做反调试吗? |
|
[原创]Windows注入篇之内核感染导入表注入X64[高清有码]
no can in win10, i build use wdk7600. [KernelImportInject] DriverEntry Get Called [KernelImportInject] Init Get Called [KernelImportInject] Init g_ZwQueryVirtualMemory:72bcc230 [KernelImportInject] GetNativeApiAddress ulNativeApiIndex : ffffffff [KernelImportInject] Init g_ZwReadVirtualMemory:0000000000000000 OS 名称: Microsoft Windows 10 家庭中文版 OS 版本: 10.0.17763 暂缺 Build 17763 OS 制造商: Microsoft Corporation |
|
[求助]想用minifilter实现u盘的禁用或只读,该怎么着手?
pccq 还能读取文件内容牛逼, 我只会对着demo撸撸, 连个inf都研究了好久,微软的文档根本看不懂, 不知道写的啥, 谷歌翻译不至于这么差吧? |
|
[求助]想用minifilter实现u盘的禁用或只读,该怎么着手?
wx_幼儿园的王 问问楼主,UMDF winDDk有例子吗,是哪些例子,我也想做个简单的看看效果https://code.msdn.microsoft.com/windowshardware/windows-driver-kit-wdk-80-e3161626 里面的Sample UMDF Filter Driver above UMDF Function Driver |
|
[求助]想用minifilter实现u盘的禁用或只读,该怎么着手?
pccq C:\Windows\System32\drivers\UMDF目录下面有2个文件:WpdFs.dll和WpdMtpDr.dll,前者用于U盘,后者用于mtp设备,umdf filter要过滤后者。大锅, 你说的umdf我自己也撸了一个, 这玩意只能针对特定设备啊, 不能控制所有便携设备, 最后我还是用kmdf来搞了, 只能搞禁用, 只读都不能搞, 文件名什么的都取不到。综合衡量了一下, 我决定搞个NT驱动, 保护组策略的注册表的方式来搞只读和禁用, 文件审计现在还在摸索中, 虽然我想到了好几个方案,但是领导要我先逆竞品的方案, 尼玛这个竞品竟然是多进程的, 资源管理器被它挂了20个多dll, 真他妈不好逆啊, 算了, 我就不含糊了, 竞品是ipguard,它能审计到便携设备的文件增加, 但不能审计来源, 我最开始怀疑他是用SHChangeNotifyRegister来实现的, 用IDA看了下, 没有;用windbg挂断点, 不命中;哎, 只能再让领导多给我点时间了 |
|
[求助]想用minifilter实现u盘的禁用或只读,该怎么着手?
wumnkx 我也不知道啊 , pccq大佬也不说具体怎么搞, 看看就好
最后于 2019-4-21 23:15
被wumnkx编辑
,原因:
|
|
[求助]想用minifilter实现u盘的禁用或只读,该怎么着手?
wumnkx 没实现, 前面的pccq大佬说他用umdf filter实现了。 你如果单纯想禁用就直接禁设备就好了, 想高级点就写个NT驱动禁用wudfhost.exe启动就好。 要精确控制文件读写就得用umd ...
最后于 2019-4-21 23:13
被wumnkx编辑
,原因:
|
|
[求助]想用minifilter实现u盘的禁用或只读,该怎么着手?
wx_幼儿园的王 我自己觉得既然他连接生成了文件,文件过滤系统应该能抓到吧竞品是企业级的产品, 不是1个链接就能用的, 要申请激活码。我不透漏了。 你看看wdk目录下的tool, 找一下有没有devcon, 然后在命令行下 devcon /? 看下有哪些参数, 然后稍微转下自己灵活的小脑瓜就知道怎么用了 |
|
[求助]想用minifilter实现u盘的禁用或只读,该怎么着手?
wumnkx 没实现, 前面的pccq大佬说他用umdf filter实现了。 你如果单纯想禁用就直接禁设备就好了, 想高级点就写个NT驱动禁用wudfhost.exe启动就好。 要精确控制文件读写就得用umd ...你跟你老师说, wpd要重新开个课题,写个新的驱动搞了, 资料少, 不一定搞的定, 微软的文档真是一帮神仙写的, 用谷歌翻译一下玛德都是什么佛系语句, 简直受不了, 写了等于不写。这个东西工作量是U盘的好几倍, 你看着办吧 |
|
|
|
[求助]想用minifilter实现u盘的禁用或只读,该怎么着手?
wx_幼儿园的王 使用wpd驱动写?能禁用便携设备吗,你做到了吗没实现, 前面的pccq大佬说他用umdf filter实现了。 你如果单纯想禁用就直接禁设备就好了, 想高级点就写个NT驱动禁用wudfhost.exe启动就好。 要精确控制文件读写就得用umdf filter来搞了 |
|
|
|
[求助]想用minifilter实现u盘的禁用或只读,该怎么着手?
pccq C:\Windows\System32\drivers\UMDF目录下面有2个文件:WpdFs.dll和WpdMtpDr.dll,前者用于U盘,后者用于mtp设备,umdf filter要过滤后者。大哥, 你是参考wdk的这个例子吗?WinDDK\src\usb\osrusbfx2\umdf\filter。
最后于 2019-4-19 15:01
被wumnkx编辑
,原因:
|
|
[求助]想用minifilter实现u盘的禁用或只读,该怎么着手?
MRRighter 我正好也是在做这个 我使用class filter来做的 我建议你用classfilter 做lowerfilter 因为某著名安全厂商企业版的设备禁用驱动和网上某国内著名透明加解密厂商的这个需求我逆 ...是用的哪个class呢? U盘和WPD都能搞吗? |
|
[求助]想用minifilter实现u盘的禁用或只读,该怎么着手?
wx_幼儿园的王 楼主,我写的是sfilter框架的过滤驱动,现在也遇到了禁用便携设备的问题,有什么经验可以跟我交流下吗,我现在还找不到方法我现在在研究1个竞品,他的禁用是直接禁止设备, 就和设备管理器里面禁用设备操作一样, 用devcon 加个命令行就可以做, 这个做法不太好我不采取。我现在在研究他的文件审计, 本以为他是注dll到explorer里面来做, 今天调了一天explorer发现不是, 直接调试竞品的主进程导致卡死, 郁闷。其实我也想到了办法:便携设备菜单是在wpdshext.dll里面做的, 如果HOOK这个dll里面菜单处理函数应该就可以; 还有就是HOOK吊explorer的文件操作函数也是可以; 目前我想先搞清楚竞品是怎么做的。 |
|
[求助]想用minifilter实现u盘的禁用或只读,该怎么着手?
wx_幼儿园的王 楼主,我写的是sfilter框架的过滤驱动,现在也遇到了禁用便携设备的问题,有什么经验可以跟我交流下吗,我现在还找不到方法本来是打算在驱动层搞, 网上资料太少, 现在打算用组策略搞读写的权限限制, 然后文件审计的还没找到方法。。。 |
|
[求助]想用minifilter实现u盘的禁用或只读,该怎么着手?
pccq umdf filter可以获取到打开、读写、删除、关闭操作,还有文件名(可以转换成文件路径)和ProcessIDumdf是用的COM形式的接口做的吗? 大哥能否指点一下, 比如参照哪个例子 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值