[求助]拦截文件的打开操作！！-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
ycmint 雪币： 1149 活跃值： (833) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 2 楼 simrep ....wdk sample ...详解... 2011-11-1 15:06 0
dandan 雪币： 208 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	dandan 3 楼首先拦截 CreateFileA 取到文件名拦截GetFileSize取到文件大小拦截 SetFilePointer 取得初始读写位置再拦截 ReadFile 对数据进行重定向基本上一个流程就出来了 2011-11-1 15:34 0
csdnm 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 16 粉丝 0 关注私信	csdnm 4 楼如果我想通过上层应该怎么做，是hook createfile还是通过shell扩展？ 2011-11-1 15:40 0
csdnm 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 16 粉丝 0 关注私信	csdnm 5 楼如果这样的话会不会导致编写较大的文件很慢？ 2011-11-1 15:42 0
dandan 雪币： 208 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	dandan 6 楼具体参考MSDN对API的定义,就是一个HOOK,- - 能有多慢,关键点是你怎么处理,你怎么处理数据决定了它的效率. 2011-11-1 15:50 0
dandan 雪币： 208 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	dandan 7 楼你这样还不如直接注册个关联或者附加个右键菜单算了- - 简单高效. 2011-11-1 15:52 0
csdnm 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 16 粉丝 0 关注私信	csdnm 8 楼但是我不能够控制用户的行为啊，我想做到不管用户怎么打开文件，我都能够拦截。 2011-11-1 16:36 0
疯子雪币： 2242 活跃值： (488) 能力值： ( LV9，RANK：200 ) 在线值：发帖 9 回帖 461 粉丝 8 关注私信	疯子 4 9 楼 hook CreateProcessInternalW 2011-11-1 16:43 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 10 楼 hook CreateProcessW 2011-11-4 19:38 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 11 楼 HOOK CreateFile和CloseHandle，这样就能跟踪打开和关闭的过程，最好不要去HOOK ReadFile WriteFile操作，因为对于映射文件的操作是没有Read、Write调用的，而是直接修改内存，映射文件的读写监控用驱动完成比较好办。 2011-11-4 19:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
ycmint 雪币： 1149 活跃值： (833) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 2 楼 simrep ....wdk sample ...详解... 2011-11-1 15:06 0
dandan 雪币： 208 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	dandan 3 楼首先拦截 CreateFileA 取到文件名拦截GetFileSize取到文件大小拦截 SetFilePointer 取得初始读写位置再拦截 ReadFile 对数据进行重定向基本上一个流程就出来了 2011-11-1 15:34 0
csdnm 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 16 粉丝 0 关注私信	csdnm 4 楼如果我想通过上层应该怎么做，是hook createfile还是通过shell扩展？ 2011-11-1 15:40 0
csdnm 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 16 粉丝 0 关注私信	csdnm 5 楼如果这样的话会不会导致编写较大的文件很慢？ 2011-11-1 15:42 0
dandan 雪币： 208 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	dandan 6 楼具体参考MSDN对API的定义,就是一个HOOK,- - 能有多慢,关键点是你怎么处理,你怎么处理数据决定了它的效率. 2011-11-1 15:50 0
dandan 雪币： 208 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	dandan 7 楼你这样还不如直接注册个关联或者附加个右键菜单算了- - 简单高效. 2011-11-1 15:52 0
csdnm 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 16 粉丝 0 关注私信	csdnm 8 楼但是我不能够控制用户的行为啊，我想做到不管用户怎么打开文件，我都能够拦截。 2011-11-1 16:36 0
疯子雪币： 2242 活跃值： (488) 能力值： ( LV9，RANK：200 ) 在线值：发帖 9 回帖 461 粉丝 8 关注私信	疯子 4 9 楼 hook CreateProcessInternalW 2011-11-1 16:43 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 10 楼 hook CreateProcessW 2011-11-4 19:38 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 11 楼 HOOK CreateFile和CloseHandle，这样就能跟踪打开和关闭的过程，最好不要去HOOK ReadFile WriteFile操作，因为对于映射文件的操作是没有Read、Write调用的，而是直接修改内存，映射文件的读写监控用驱动完成比较好办。 2011-11-4 19:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复