[求助]文件过滤驱动获得全路径失败-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]文件过滤驱动获得全路径失败 0.00雪花

发表于: 2012-5-19 22:26 870

[旧帖] [求助]文件过滤驱动获得全路径失败 0.00雪花

feizainju

2012-5-19 22:26

870

最近在调试minifilter，打算过滤掉IE缓存中文件的操作，就是目录：Documents and Settings\Administrator\Local Settings\Temporary Internet Files下的文件，在预处理NPPreCreate中实现的，主要过滤代码如下：
RtlInitUnicodeString(&UnicodeString1,L"\\Device\\HarddiskVolume1\\Documents and Settings\\Administrator\\Local Settings\\Temporary Internet Files\\Cookie:administrator@114.212.82.98/");
RtlInitUnicodeString(&UnicodeString2,L"\\Documents and Settings\\Administrator\\Local Settings\\Temporary Internet Files\\");

__try {
         status = FltGetFileNameInformation( Data,
                                 FLT_FILE_NAME_NORMALIZED |
                                 FLT_FILE_NAME_QUERY_DEFAULT,
                                 &nameInfo );
         FltParseFileNameInformation( nameInfo );
      if (NT_SUCCESS( status )) {

        if (gCommand == ENUM_BLOCK) {
if (RtlEqualUnicodeString(&UnicodeString2,&(nameInfo->ParentDir),FALSE))
{
KdPrint(("%wZ\r\n",&UnicodeString2));
   if (RtlEqualUnicodeString(&UnicodeString1,&(nameInfo->Name),FALSE)) {
Data->IoStatus.Status = STATUS_ACCESS_DENIED;
Data->IoStatus.Information = 0;
KdPrint(("%wZ\r\n",&UnicodeString1));
FltReleaseFileNameInformation( nameInfo );
return FLT_PREOP_COMPLETE; }

}
}

在用windbg调试的时候，操作缓存目录下面的文件就是断不下来，怀疑里面的文件是不是都用了什么重定向，或者软硬连接，导致改变了文件的全路径。
各位大神，帮忙看一下吧。困扰好久了。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・0

免费・0

支持