[求助]360的文件下载保护是怎么实现的-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]360的文件下载保护是怎么实现的

发表于: 2010-12-6 21:33 13400

[求助]360的文件下载保护是怎么实现的

liugeshao

2010-12-6 21:33

13400

360的文件下载保护是怎么实现的,请说一下

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・2

免费・0

支持

最新回复 (26) 1 2 ▶
君君寒雪币： 6092 活跃值： (699) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 2 楼 hook内核文件过滤吧 2010-12-6 22:46 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 3 楼那它怎么识别是下载文件而不是其它createfile呢 2010-12-7 00:19 0
smokewind 雪币： 65 活跃值： (118) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 93 粉丝 4 关注私信	smokewind 1 4 楼楼主也准备搞? 2010-12-7 01:01 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 5 楼顶一下,大家帮看看呀 2010-12-7 17:45 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 6 楼顶一下,大家帮看看呀 2010-12-8 17:35 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 7 楼顶一下,大家帮看看呀 2010-12-10 22:25 0
zwfgdlc 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 0 关注私信	zwfgdlc 8 楼 IE下载的文件都是先下载到IE临时文件夹里, 然后再复制到你要下载的路径里. 监视IE临时文件夹. 2010-12-12 23:47 0
tfzxyinhao 雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 180 粉丝 0 关注私信	tfzxyinhao 9 楼非IE浏览器也是可以监视的，比如火狐。 2010-12-12 23:58 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 10 楼非IE浏览器也是可以监视的，比如火狐 2010-12-15 03:04 0
流朔天行雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	流朔天行 11 楼同问，火狐浏览器貌似没有像IE临时文件夹。 2010-12-15 16:23 0
yangbostar 雪币： 431 活跃值： (259) 能力值： ( LV9，RANK：230 ) 在线值：发帖 20 回帖 139 粉丝 12 关注私信	yangbostar 4 12 楼如果被迅雷拦截了呢？怎么办 2010-12-16 08:53 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 13 楼顶一下,快来帮个忙 2010-12-18 03:19 0
Ethernet 雪币： 203 活跃值： (214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 139 粉丝 0 关注私信	Ethernet 14 楼这个确实，包括chrome浏览器下载它也能监视，所以我觉得它的方法不跟浏览器绑定，可能是先监视网络下载情况，然后再和文件过滤结合来判断。 2010-12-20 09:57 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 15 楼 LS正解！！以下仅仅是个人意见，有错的请指正不能直接通过文件过滤来监控下载文件的原因如下：一个进程，进行网络操作是我们能监控到的，进行文件操作也是我们能监控到的。下载文件必须具备两个条件，即存在读网络数据的行为和写文件操作的行为，否则是不能称为下载的。但是，存在以上行为也不一定就是下载，他们之间的关系是由相关进程决定的，也就是我可以写一个程序，这个程序有读取网络数据的行为和写本地文件的行为，他可以有下载行为，也可以没有！！不同的程序我们是无法保证其统一性，所以没有统一的办法做到监控下载行为。解决办法：不同的程序的下载操作是不同的，但是同一程序的下载操作基本是固定，我们可以通过分析某一程序的下载行为来监控文件下载操作，通常常用下载的软件不是很多。具体做法：比如一个软件是会下载文件到临时文件，然后移动到某一目录，使用了MoveFile函数，而且其他地方没用到这个函数，我们就可以HOOK掉，一旦程序调用了，就可以当做下载处理了。一言蔽之，就是针对性处理啦。在下菜鸟一个，发表一下愚解，高手直接略过啊…… 2010-12-20 21:59 0
咪···WC 雪币： 255 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 354 粉丝 0 关注私信	咪···WC 16 楼监控临时文件吧············· 2010-12-21 12:58 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 17 楼希望大N们给个正确答案 2010-12-22 05:01 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 18 楼顶一下,请大家说说 2010-12-22 18:32 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 19 楼希望大N们给个正确答案 2010-12-23 21:37 0
dlmu 雪币： 239 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 210 粉丝 0 关注私信	dlmu 1 20 楼 ls，真相呀~ 2010-12-23 21:41 0
Ethernet 雪币： 203 活跃值： (214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 139 粉丝 0 关注私信	Ethernet 21 楼可chrome并非如此 2011-3-18 11:03 0
hezhang 雪币： 677 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 123 粉丝 0 关注私信	hezhang 22 楼各个浏览器都要产生临时文件的针对常见的几种浏览器分别弄一下就行了好像在iNetSafe.dll里面 2011-3-18 11:13 0
lovehuaibb 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 31 粉丝 0 关注私信	lovehuaibb 23 楼 GET /Test.rar HTTP/1.1 Host:bbs.pediy.com Connection: close Hook Socket 2011-3-18 23:51 0
zyqqyz 雪币： 693 活跃值： (108) 能力值： ( LV5，RANK：60 ) 在线值：发帖 21 回帖 168 粉丝 11 关注私信	zyqqyz 1 24 楼我想其实应该很简单，它把所有的下载软件都登记在程序中，以此来枚举进程，一旦发现有进程运行，就监视它，发现它有读取网络数据并建立文件的举动，就拦截下来并扫描。 2011-3-28 21:22 0
chineseftp 雪币： 384 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	chineseftp 25 楼文件过滤在IRP_MJ_CREATE获取父进程路径和文件路径跟据父进程来判断是不是IE或火狐等需要监控的路径 2011-5-11 14:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

liugeshao

发帖

119

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (26) 1 2 ▶
君君寒雪币： 6092 活跃值： (699) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 2 楼 hook内核文件过滤吧 2010-12-6 22:46 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 3 楼那它怎么识别是下载文件而不是其它createfile呢 2010-12-7 00:19 0
smokewind 雪币： 65 活跃值： (118) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 93 粉丝 4 关注私信	smokewind 1 4 楼楼主也准备搞? 2010-12-7 01:01 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 5 楼顶一下,大家帮看看呀 2010-12-7 17:45 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 6 楼顶一下,大家帮看看呀 2010-12-8 17:35 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 7 楼顶一下,大家帮看看呀 2010-12-10 22:25 0
zwfgdlc 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 0 关注私信	zwfgdlc 8 楼 IE下载的文件都是先下载到IE临时文件夹里, 然后再复制到你要下载的路径里. 监视IE临时文件夹. 2010-12-12 23:47 0
tfzxyinhao 雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 180 粉丝 0 关注私信	tfzxyinhao 9 楼非IE浏览器也是可以监视的，比如火狐。 2010-12-12 23:58 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 10 楼非IE浏览器也是可以监视的，比如火狐 2010-12-15 03:04 0
流朔天行雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	流朔天行 11 楼同问，火狐浏览器貌似没有像IE临时文件夹。 2010-12-15 16:23 0
yangbostar 雪币： 431 活跃值： (259) 能力值： ( LV9，RANK：230 ) 在线值：发帖 20 回帖 139 粉丝 12 关注私信	yangbostar 4 12 楼如果被迅雷拦截了呢？怎么办 2010-12-16 08:53 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 13 楼顶一下,快来帮个忙 2010-12-18 03:19 0
Ethernet 雪币： 203 活跃值： (214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 139 粉丝 0 关注私信	Ethernet 14 楼这个确实，包括chrome浏览器下载它也能监视，所以我觉得它的方法不跟浏览器绑定，可能是先监视网络下载情况，然后再和文件过滤结合来判断。 2010-12-20 09:57 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 15 楼 LS正解！！以下仅仅是个人意见，有错的请指正不能直接通过文件过滤来监控下载文件的原因如下：一个进程，进行网络操作是我们能监控到的，进行文件操作也是我们能监控到的。下载文件必须具备两个条件，即存在读网络数据的行为和写文件操作的行为，否则是不能称为下载的。但是，存在以上行为也不一定就是下载，他们之间的关系是由相关进程决定的，也就是我可以写一个程序，这个程序有读取网络数据的行为和写本地文件的行为，他可以有下载行为，也可以没有！！不同的程序我们是无法保证其统一性，所以没有统一的办法做到监控下载行为。解决办法：不同的程序的下载操作是不同的，但是同一程序的下载操作基本是固定，我们可以通过分析某一程序的下载行为来监控文件下载操作，通常常用下载的软件不是很多。具体做法：比如一个软件是会下载文件到临时文件，然后移动到某一目录，使用了MoveFile函数，而且其他地方没用到这个函数，我们就可以HOOK掉，一旦程序调用了，就可以当做下载处理了。一言蔽之，就是针对性处理啦。在下菜鸟一个，发表一下愚解，高手直接略过啊…… 2010-12-20 21:59 0
咪···WC 雪币： 255 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 354 粉丝 0 关注私信	咪···WC 16 楼监控临时文件吧············· 2010-12-21 12:58 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 17 楼希望大N们给个正确答案 2010-12-22 05:01 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 18 楼顶一下,请大家说说 2010-12-22 18:32 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 19 楼希望大N们给个正确答案 2010-12-23 21:37 0
dlmu 雪币： 239 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 210 粉丝 0 关注私信	dlmu 1 20 楼 ls，真相呀~ 2010-12-23 21:41 0
Ethernet 雪币： 203 活跃值： (214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 139 粉丝 0 关注私信	Ethernet 21 楼可chrome并非如此 2011-3-18 11:03 0
hezhang 雪币： 677 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 123 粉丝 0 关注私信	hezhang 22 楼各个浏览器都要产生临时文件的针对常见的几种浏览器分别弄一下就行了好像在iNetSafe.dll里面 2011-3-18 11:13 0
lovehuaibb 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 31 粉丝 0 关注私信	lovehuaibb 23 楼 GET /Test.rar HTTP/1.1 Host:bbs.pediy.com Connection: close Hook Socket 2011-3-18 23:51 0
zyqqyz 雪币： 693 活跃值： (108) 能力值： ( LV5，RANK：60 ) 在线值：发帖 21 回帖 168 粉丝 11 关注私信	zyqqyz 1 24 楼我想其实应该很简单，它把所有的下载软件都登记在程序中，以此来枚举进程，一旦发现有进程运行，就监视它，发现它有读取网络数据并建立文件的举动，就拦截下来并扫描。 2011-3-28 21:22 0
chineseftp 雪币： 384 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	chineseftp 25 楼文件过滤在IRP_MJ_CREATE获取父进程路径和文件路径跟据父进程来判断是不是IE或火狐等需要监控的路径 2011-5-11 14:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复