首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
编程技术
发新帖
0
0
[求助]minispy监控文件读写创建的程序BUG求教
发表于: 2012-12-21 14:05
6221
[求助]minispy监控文件读写创建的程序BUG求教
wangde
2012-12-21 14:05
6221
我用minispy框架编写一个监控文件读写创建的程序。
在SpyPostOperationCallback中
通过监控 :
IRP_CREAT ,
IRP_MJ_CREATE_NAMED_PIPE,
IRP_MJ_CREATE_MAILSLOT
查询文件路径,保存到哈希表
通过监控 :
IRP_READ,
IRP_WRITE,
IRP_MJ_MDL_READ,
IRP_MJ_MDL_READ_COMPLETE,
IRP_MJ_MDL_WRITE_COMPLETE
查询哈希表文件路径
通过监控 :
IRP_CLOSE
删除哈希表中相应记录
测试结果发现有读写操作未监控到,而且未监控到的操作是随机出现。手动操作读写文件一般不会漏掉,用程序打开、读、写文件会随机没有监控到。
求有经验的大牛指正错误.............感激不尽..........................
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
收藏
・
0
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
8
)
wangde
雪 币:
4
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
13
回帖
110
粉丝
0
关注
私信
wangde
2
楼
我感觉可能是我获取文件路径方法不是很正确,我是通过FltParseFileNameInformation和 ObQueryNameString来获取文件路径。
2012-12-21 14:23
0
zhouws
雪 币:
3116
活跃值:
(1269)
能力值:
( LV8,RANK:120 )
在线值:
发帖
11
回帖
360
粉丝
6
关注
私信
zhouws
2
3
楼
你是用什么判断的,系统system进程有时候会用stream fileobject来进行读写的,而且这个fileobject是不经过IRP_CREATE
2012-12-21 14:27
0
wangde
雪 币:
4
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
13
回帖
110
粉丝
0
关注
私信
wangde
4
楼
用stream fileobject来进行读写的该怎么监控,求指导
2012-12-21 15:24
0
tydef
雪 币:
107
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
12
回帖
202
粉丝
0
关注
私信
tydef
5
楼
开源文件过滤 有好多
试试他们会不会也漏过
对比下设置过滤条件 操作啥的
说不定就有结论了
2012-12-21 16:24
0
wangde
雪 币:
4
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
13
回帖
110
粉丝
0
关注
私信
wangde
6
楼
开源文件过滤不多吧........求指点
2012-12-21 20:40
0
tydef
雪 币:
107
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
12
回帖
202
粉丝
0
关注
私信
tydef
7
楼
可能 zhouws 的意见更贴切一些
我只是说自己 在没办法会采取的最保守办法
我会自己用 minifilter sfilter的passthrough代码 自己过滤创建 读写试试看
开源的代码 还有(恩 是还有 除了DDK自带代码之外的)
filespy filemon 似乎都有代码可找
2012-12-22 11:37
0
wangde
雪 币:
4
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
13
回帖
110
粉丝
0
关注
私信
wangde
8
楼
多谢,但是我想可能是我解析文件路径失败导致漏掉的,不过我用哈希表ObQueryNameString在creat后获得。结果还是有漏掉现象。求大牛门指点..............
我用的也是passthrough的代码,但是也有漏报的情况,求大牛指点啊
2012-12-29 15:48
0
wangde
雪 币:
4
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
13
回帖
110
粉丝
0
关注
私信
wangde
9
楼
自己顶一个吧.................求大牛现身
2013-1-5 09:20
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
wangde
13
发帖
110
回帖
10
RANK
关注
私信
他的文章
[讨论]win8.1 安装了3月份补丁后,任务栏超级卡
2830
[求助]minispy监控文件读写创建的程序BUG求教
6222
一个结构体对齐问题,高手们请进
3026
[求助]关于PE文件结构的一个问题,请高手指点
3961
[讨论]人人网好像被攻击了
2186
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
赞赏
×
雪币:
+
留言:
快捷留言
为你点赞!
返回
顶部