首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]监控文件拷贝操作
发表于: 2009-10-27 19:35 8983

[求助]监控文件拷贝操作

alleluia 活跃值
2009-10-27 19:35
8983
原先的想法是在驱动层做,但是驱动层本身并没有相应的“拷贝”操作,而是分解开了。
于是现在改在ring3下做。

现在采用的方法是监视进程的启动,然后为系统中各个进程创建远线程,注入一个DLL,来实现CopyFile一系列函数的Hook,但结果是被瑞星杀毒软件把hook给阻止了。头都愁大了,唉。

瑞星是不是禁止这种这种远线程注入dll进行apihook的方式?
请教各位大侠有什么办法能绕过瑞星来实现文件拷贝的监控呢?

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (9)
alleluia
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
hook的方式使用了两种:
一种是windows核心编程上那种修改导入表的方法
另一种是Detours那种修改程序头几个字节的方法

两种方法都被瑞星给拦下来了......
2009-10-27 19:37
0
chinazgj
雪    币: 186
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
干掉瑞星再监控
2009-10-27 20:59
0
alleluia
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
破坏系统原有的功能不是我的初衷
2009-10-27 21:12
0
dcwant
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
ReadDirectoryChangeW
2009-10-27 22:52
0
qihoocom
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
私信
6
用驱动注DLL
2009-10-27 23:02
0
achillis
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
私信
7
Read-Write方式的拷贝呢?能读就能拷贝~
2009-10-27 23:03
0
alleluia
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
Read-Write方式的就随它去吧,不能包办一切嘛
2009-10-27 23:34
0
alleluia
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
驱动中注入DLL?谢谢帮忙,能稍微再说的详细些吗?
2009-10-27 23:49
0
achillis
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
私信
10
参考sudami的《内核中注入DLL的N种方法》
2009-10-28 07:13
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//