首页
社区
课程
招聘
[求助]文件创建监控iopcreatefile么有效果?
发表于: 2013-11-27 10:38 4600

[求助]文件创建监控iopcreatefile么有效果?

2013-11-27 10:38
4600
inlie hook了iopcreatefile这个api,用来监控恶意代码所释放的文件,但是失败了,没有监控到文件释放的过程,只看到一些文件打开的过程,另外监控了ntwritefile这个api,倒是可以看到恶意代码往释放的文件中写数据的过程。
很奇怪为什么没有create这个file的过程?
ntcreatefile->iocreatefile->iopcreatefile照这个样子来说,应该是可以监控到的,为什么监控不到?难道经过其他途径了?

有人做过这方面的监控么?望不吝赐教!!
万分感谢。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 207
活跃值: (133)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
顶顶,求大神指点
2013-11-28 16:19
0
雪    币: 97
活跃值: (141)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
这个函数不行,因为系统有时打开文件不走这个函数。
2013-12-5 19:50
0
游客
登录 | 注册 方可回帖
返回
//