[原创]内核驱动文件重定向加图加代码-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]内核驱动文件重定向加图加代码

发表于: 2010-11-10 00:02 17812

[原创]内核驱动文件重定向加图加代码

defddr

2010-11-10 00:02

17812

最近学习了下内核驱动中的文件重定向。现在总结一下，希望对大家有用

不知道在逆向论坛发表文件过滤驱动是一个错误？  我承认这些是很基础的东西但是不能发表工作成果的我发表一些试验程序的副产品也是为了和大家分享

那个啥啥Miminka (Mummy) 巨婴们攀爬的是Žižkov的电视塔曾经被评选为最丑陋的建筑物不也被当地的群众以艺术的宽容接受了么

拜托大家宽容的对待这些  大不了一笑而过吧  当然管理员能给个精华最好了谢谢

最近几天将附加上MINIFILTER重定位代码(已加) 以及附上完整的将指定文件重定位到内存中的实验代码
额  其实不是想吸引眼光所以强调下只是实验代码

重定向，字面即为对某A文件的操作直接转移到B文件。比如读、写、设置长度或文件结尾指针等属性、甚至是删除操作。
内核驱动中文件重定向主要用于加解密.打开密文文件时将其复制到一个隐藏的临时文件，并解密后打开，保存时将临时文件加密后覆盖原文件。
或者打开文件等对象重定向，用于系统还原，以及使用重定向技术将应用程序数据与操作系统数据分离存储来达到保护系统的作用

以下是基于 SFILTER框架的文件重定向
相对MINIFILTER框架 SFILTER看起来比较复杂但是他可以跨分区跨卷进行文件重定向

无论我们查询设置文件属性读写删除文件等均是通过打开文件来开始的而在内核中打开文件便是创建--Create
我们进行路径替换来重定位也是从这里开始

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

1.JPG （165.30kb，554次下载）
2.JPG （89.44kb，546次下载）

收藏・28

免费・7

支持

最新回复 (11)
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 2 楼好复杂~重定向这个东西用object type hook一下轻松搞定 2010-11-10 00:38 0
defddr 雪币： 37 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 49 粉丝 0 关注私信	defddr 3 楼恩。。如果不HOOK呢使用商品软件的客户如果得知同样用于重定位的商品一个是HOOK完成一个是使用微软的MINIFILTER完成客户的选择结果也就可想而知了多一种办法多一点知识总是好的都用c= c+1 那么c++就不会出现了对吧 2010-11-10 00:41 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 4 楼我真不知道有哪种类型的客户会对比哪种商品是用hook，还是用MINIFILTER，然后再决定使用........ 2010-11-10 01:32 0
defddr 雪币： 37 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 49 粉丝 0 关注私信	defddr 5 楼因为如果做磁盘还原根本是不考虑HOOK 而直接使用MINIFLTER或其他文件过滤系统的 2010-11-10 09:08 0
Crakme 雪币： 2194 活跃值： (1001) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 378 粉丝 0 关注私信	Crakme 6 楼这也行学习了。。。 2010-11-10 10:00 0
winndy 雪币： 440 活跃值： (737) 能力值： ( LV9，RANK：690 ) 在线值：发帖 45 回帖 776 粉丝 1 关注私信	winndy 17 7 楼关注 sfilter 2010-11-10 11:17 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 8 楼楼猪试试在R3做文件虚拟化~ 2010-11-10 12:27 0
defddr 雪币： 37 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 49 粉丝 0 关注私信	defddr 9 楼不大了解起始苦恼了2个月也才捣鼓出这么点实验代码。。。 2010-11-10 12:58 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 10 楼楼主，比较全的源码在哪里？ 2017-12-6 10:18 0
niuzuoquan 雪币： 300 活跃值： (2477) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 523 粉丝 2 关注私信	niuzuoquan 11 楼 mark 2017-12-6 11:26 0
mb_eulilkay 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_eulilkay 12 楼楼主有联系方式吗？ 2020-4-16 23:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

defddr

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (11)
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 2 楼好复杂~重定向这个东西用object type hook一下轻松搞定 2010-11-10 00:38 0
defddr 雪币： 37 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 49 粉丝 0 关注私信	defddr 3 楼恩。。如果不HOOK呢使用商品软件的客户如果得知同样用于重定位的商品一个是HOOK完成一个是使用微软的MINIFILTER完成客户的选择结果也就可想而知了多一种办法多一点知识总是好的都用c= c+1 那么c++就不会出现了对吧 2010-11-10 00:41 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 4 楼我真不知道有哪种类型的客户会对比哪种商品是用hook，还是用MINIFILTER，然后再决定使用........ 2010-11-10 01:32 0
defddr 雪币： 37 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 49 粉丝 0 关注私信	defddr 5 楼因为如果做磁盘还原根本是不考虑HOOK 而直接使用MINIFLTER或其他文件过滤系统的 2010-11-10 09:08 0
Crakme 雪币： 2194 活跃值： (1001) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 378 粉丝 0 关注私信	Crakme 6 楼这也行学习了。。。 2010-11-10 10:00 0
winndy 雪币： 440 活跃值： (737) 能力值： ( LV9，RANK：690 ) 在线值：发帖 45 回帖 776 粉丝 1 关注私信	winndy 17 7 楼关注 sfilter 2010-11-10 11:17 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 8 楼楼猪试试在R3做文件虚拟化~ 2010-11-10 12:27 0
defddr 雪币： 37 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 49 粉丝 0 关注私信	defddr 9 楼不大了解起始苦恼了2个月也才捣鼓出这么点实验代码。。。 2010-11-10 12:58 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 10 楼楼主，比较全的源码在哪里？ 2017-12-6 10:18 0
niuzuoquan 雪币： 300 活跃值： (2477) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 523 粉丝 2 关注私信	niuzuoquan 11 楼 mark 2017-12-6 11:26 0
mb_eulilkay 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_eulilkay 12 楼楼主有联系方式吗？ 2020-4-16 23:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]内核驱动文件重定向 加图加代码

[原创]内核驱动文件重定向加图加代码