[求助]在FSD中如何判断一个文件是否来自网络-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 2 楼 BS你，，，，，，，，，，，，，，，，，，，哈。fileobject里面好像有标志位 2010-12-3 10:49 0
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 3 楼给个不靠普的。 BOOLEAN IsFromNetAccess ( __in PFLT_IO_PARAMETER_BLOCK iopb ) { NTSTATUS ntStatus; PACCESS_TOKEN pToken=NULL; PTOKEN_SOURCE pTokenSrc=NULL; PSECURITY_SUBJECT_CONTEXT secSubCtx; BOOLEAN ret=FALSE; secSubCtx=&(iopb->Parameters.Create.SecurityContext->AccessState->SubjectSecurityContext); do { if(secSubCtx->ClientToken!=NULL \|\| secSubCtx->PrimaryToken!=NULL) { pToken=SeQuerySubjectContextToken(secSubCtx); } if(pToken==NULL) break; ntStatus=SeQueryInformationToken(pToken,TokenSource,&pTokenSrc); if(NT_SUCCESS(ntStatus)) { pTokenSrc->SourceName[TOKEN_SOURCE_LENGTH-1]=0x00; if(_stricmp(pTokenSrc->SourceName,"NtLmSsp")==0) { ret=TRUE; } } else { DbgPrint("SeQueryInformationToken Failed!!!\n"); } }while(0); if(pTokenSrc!=NULL) ExFreePool(pTokenSrc); return ret; } 2010-12-3 20:27 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 4 楼楼上威武，不过我是HOOK FSD，在这个分派例程里来处理，我想问下那个参数IOPB是什么呀？ 2010-12-3 23:14 0
SueMoon 雪币： 507 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 28 回帖 92 粉丝 0 关注私信	SueMoon 1 5 楼骷髅王大哥威武~ 2010-12-3 23:21 0
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 6 楼这是MiniFilter里面的结构，注意这个 Create.SecurityContext->AccessState->SubjectSecurityContext 2010-12-4 01:56 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 7 楼 THANK U，这个和IO_STACK_LOCATION里的Parameters.Create都是同一个结构吧 2010-12-6 09:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 2 楼 BS你，，，，，，，，，，，，，，，，，，，哈。fileobject里面好像有标志位 2010-12-3 10:49 0
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 3 楼给个不靠普的。 BOOLEAN IsFromNetAccess ( __in PFLT_IO_PARAMETER_BLOCK iopb ) { NTSTATUS ntStatus; PACCESS_TOKEN pToken=NULL; PTOKEN_SOURCE pTokenSrc=NULL; PSECURITY_SUBJECT_CONTEXT secSubCtx; BOOLEAN ret=FALSE; secSubCtx=&(iopb->Parameters.Create.SecurityContext->AccessState->SubjectSecurityContext); do { if(secSubCtx->ClientToken!=NULL \|\| secSubCtx->PrimaryToken!=NULL) { pToken=SeQuerySubjectContextToken(secSubCtx); } if(pToken==NULL) break; ntStatus=SeQueryInformationToken(pToken,TokenSource,&pTokenSrc); if(NT_SUCCESS(ntStatus)) { pTokenSrc->SourceName[TOKEN_SOURCE_LENGTH-1]=0x00; if(_stricmp(pTokenSrc->SourceName,"NtLmSsp")==0) { ret=TRUE; } } else { DbgPrint("SeQueryInformationToken Failed!!!\n"); } }while(0); if(pTokenSrc!=NULL) ExFreePool(pTokenSrc); return ret; } 2010-12-3 20:27 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 4 楼楼上威武，不过我是HOOK FSD，在这个分派例程里来处理，我想问下那个参数IOPB是什么呀？ 2010-12-3 23:14 0
SueMoon 雪币： 507 活跃值： (26) 能力值： ( LV4，RANK：50 ) 在线值：发帖 28 回帖 92 粉丝 0 关注私信	SueMoon 1 5 楼骷髅王大哥威武~ 2010-12-3 23:21 0
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 6 楼这是MiniFilter里面的结构，注意这个 Create.SecurityContext->AccessState->SubjectSecurityContext 2010-12-4 01:56 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 7 楼 THANK U，这个和IO_STACK_LOCATION里的Parameters.Create都是同一个结构吧 2010-12-6 09:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复