首页
社区
课程
招聘
[求助]对文件拷贝的监控
发表于: 2011-9-15 19:20 5968

[求助]对文件拷贝的监控

2011-9-15 19:20
5968
hook 了ntwritefile函数,用鼠标的复制,粘贴进行拷贝的方式可以监控到,但通过网络共享方式向目录中粘贴文件的操作就监控不到了,hook 了ntcreatefile 好像也没反映,难道通过网络拷贝使用了其它方式?

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (6)
雪    币: 3116
活跃值: (1269)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
2
网络共享操作的,搞不到了的。
2011-9-15 20:29
0
雪    币: 72
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
那是不是还会有写文件的操作,为什么我把一个病毒拷贝都另一台机器的共享目录中,对方的杀软直接就告警了?
2011-9-15 21:44
0
雪    币: 3116
活跃值: (1269)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
4
肯定要经过对方的文件系统啊。好像是sr.sys->filesystem
2011-9-16 00:07
0
雪    币: 72
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
好像我没说清楚,是我的机器开了一个共享目录,对方向我的共享中传输文件,我来监控
2011-9-16 09:34
0
雪    币: 107
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
监控指定目录下?
是我的机器开了一个共享目录,对方向我的共享中传输文件,我来监控
这个叫创建 不叫拷贝
HOOK zwcreatefile
2011-9-17 22:17
0
雪    币: 72
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
好像监控zwcreatefile 不行啊,是不是这个根网络函数有关呢
2011-9-29 10:33
0
游客
登录 | 注册 方可回帖
返回
//