如何检测来自网络的文件下载-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 如何检测来自网络的文件下载 0.00雪花

发表于: 2014-2-26 20:31 6903

[旧帖] 如何检测来自网络的文件下载 0.00雪花

liwenl

2014-2-26 20:31

6903

直说了哈，我做一个监控软件，需要一个功能，探测到所有正在从网络下载的文件，该文件下载完成后，找到该文件，我要隔离起来。就是要知道怎么拦截从网络来文件下载的，要找到这个文件，不要数据包什么的。要个过滤一样的功能。应用层和驱动都行。

悬赏的还是算比较多哈，希望能给点详细的建议。

我已经知道的：
1.遍历每个下载软件配置文件和浏览器找到下载文件夹。（不是我想要的）
2.写个防火墙？？？怎么写？
2.在文件过滤驱动中如何判断文件访问请求来自网络？http://blog.csdn.net/joshua_yu/article/details/616077
看了，不知道怎么弄。

谢谢哈

补充：经过讨论和搜索，我觉得我得要走第一条痛苦的路了也就是遍历每个下载软件配置文件和浏览器找到下载文件夹。
希望能提供点方法。
提供详细点的资料或者至少提供能找到一种浏览器下载目录的方法，那这100Kx就给你

[课程]FART 脱壳王！加量不加价！FART作者讲授！

收藏・1

免费・0

支持

最新回复 (31) 1 2 ▶
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 2 楼其实研究一下安全软件不就行了么。。。早有人研究过了。 IE是hook了他里面的movefile 的api . 因为ie下载后会将文件从临时目录copy过来。然后Chrome firefox 等是使用的浏览器扩展插件。 2014-2-26 21:58 0
liwenl 雪币： 53 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 0 关注私信	liwenl 3 楼迅雷下载旋风下载怎么办？我不可能每个下载软件，每个浏览器都去找他的下载目录 2014-2-26 22:06 0
墨非雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 214 粉丝 0 关注私信	墨非 4 楼谢谢楼主这么用心写软件，我还是喜欢用沙盘。 2014-2-26 22:13 0
liwenl 雪币： 53 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 0 关注私信	liwenl 5 楼也就是那个我每次下载东西，360都有提示大概是怎么做到的？ 2014-2-26 22:31 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 6 楼这是必然的事情啊。安全软件都这样干的。 2014-2-26 22:36 0
liwenl 雪币： 53 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 0 关注私信	liwenl 7 楼我有个想法：监视每个进程的连接，有连接或者有流量什么的，就去看该进程所操作的文件。不知道行不 2014-2-26 22:45 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 8 楼比如就说chrome . 在正常运行时。正在使用的文件N个。。。 QQ还可以从群共享里面下载东西的。还可以从好友处接收东西 QQ在运行的时候文件就更多了。而且你还监视不了的。 2014-2-26 22:47 0
liwenl 雪币： 53 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 0 关注私信	liwenl 9 楼假如说我能获取该进程现在所操作的文件，一些不太危险的后缀就排除掉，其中带有比较危险的后缀比如.exe.com等，遍历进程看这些后缀名的文件是不是已经在运行，如果已经在运行就不管它，如果没有在运行，就说明可能是下载的将要运行，隔离起来。当然这样做会有漏洞，不过作为简单的防护手段还是可以的，防范别人在你离开电脑后下载病毒。 2014-2-27 09:10 0
ydfivy 雪币： 579 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 357 粉丝 0 关注私信	ydfivy 10 楼我一直也想搞一个类似的东西。但不知道咋弄。 2014-2-27 09:28 0
稻草人Z 雪币： 680 活跃值： (68) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 138 粉丝 1 关注私信	稻草人Z 2 11 楼看了楼主的问题，上网查了查，我能想到的方法就是驱动了，不过看网上也有人用其他方法实现，不过能力有限看不太懂。驱动层的我曾经照着《寒江独钓》写过一个透明加密的东西，不过没有处理过这个问题，不过这个应该是类似的，区别就是在同名加密中不判断文件的属性，对所有要复制的文件都进行操作，楼主的要求应该就是在对这些文件进行一个判断，判断的函数就使用楼主贴出来那个网址里的函数应该就可以了。 2014-2-27 10:58 0
徐博天雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 9 粉丝 0 关注私信	徐博天 12 楼把他们下载的文件给拦截了啊 2014-2-27 11:38 0
liwenl 雪币： 53 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 0 关注私信	liwenl 13 楼回复12楼:前提是我怎么知道哪个文件正在下载 2014-2-27 13:39 0
liwenl 雪币： 53 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 0 关注私信	liwenl 14 楼回复11楼：如果是微过滤喃，目前在写微过滤。如果能提供一个sfilter这样的就好了，能不能帮我试试改改看 2014-2-27 17:12 0
liwenl 雪币： 53 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 0 关注私信	liwenl 15 楼我自己已经找到办法了，现在能自动获得IE，360安全浏览器，火狐，搜狗等等浏览器的下载目录了，通过读取他们的配置文件。最近忙，有空我再放出详细情况来。 2014-3-2 18:04 0
liwenl 雪币： 53 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 0 关注私信	liwenl 16 楼 sorry，各位我已经关闭此贴了，我不知道关闭此贴悬赏都要不回来了，本来还想发点给你们，反正谢谢各位回答。 2014-3-2 18:08 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 17 楼除了每个下载工具挨个特殊处理外，不可能有你想要的神奇技术。首先一条：什么叫“从网络下载文件”你都无法从程序层面定义，只要走http端口来的数据都是下载文件？或者只要下载工具新建的文件就是下载文件？或者你怎么知道他某个socket数据是存到某个文件里面去了？然后这个动作就是下载文件时的动作？根本不靠谱的想法和做法。。。。。too young too simple 2014-3-2 18:21 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 18 楼你要玩文字游戏找楼主去啊？回复我做什么。 2014-3-2 18:58 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 19 楼分析包才是正道……这样做不彻底的 2014-3-2 19:31 0
liwenl 雪币： 53 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 0 关注私信	liwenl 20 楼回复17楼：确实没有神奇的技术，但是结合各种策略手段也能达到相同的功能，经过我综合整理，准备将各种神奇技术融合在一起，我已经成功将设计方案申报了大学项目，并获得了一万的项目资金。对于最后那句too young too simple ，古人其实已经有过回复：《史记·卷三十六》：“嗟呼，燕雀安知鸿鹄之志哉？” 2014-3-5 13:01 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 21 楼我马上写个程序，发请求从网上搞些数据下来，然后管道重定向到另外一个进程，然后写到文件……不特殊处理，你有通用办法识别我是下载了文件？ 2014-3-5 18:52 0
sunnysab 雪币： 80 活跃值： (109) 能力值： ( LV3，RANK：20 ) 在线值：发帖 19 回帖 696 粉丝 0 关注私信	sunnysab 22 楼回楼上，一般正常软件不会这么做吧？ 2014-3-5 19:22 0
liwenl 雪币： 53 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 0 关注私信	liwenl 23 楼还真有，不然学校怎么可能给我这么多钱，除了去读配置文件，通过监控进程，文件过滤驱动，网络过滤驱动，防火墙等等等等一大堆玩意凑一起，获取一堆信息来互相匹配，当然说实话不能百分之分检测到。不过准确率还是可以的，剩下的就是找更多的特征数据和更新策略算法，就是靠数据和人力堆出来的特征数据库来判断 2014-3-5 22:25 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 24 楼好吧，那正常软件频繁生成读写文件是正常的吧……进行网络通讯也是正常的吧？你有什么依据把某个或者某些网络通讯动作与某个文件生成，读写动作关联起来？ 2014-3-5 22:29 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 25 楼只要找不到将网络通讯与文件操作关键起来的依据……那所谓通用下载检测，就是玩具而已这东西只有每个支持的浏览器和下载工具单独处理才相对靠谱点所谓”下载”这个动作，只存在于人类的思维中，对计算机来说，不存在“下载”这样一个行为，人类思维中的所谓”下载”，对计算机来说，就是一堆网络通信，文件操作的动作碎片，与人类思维中不认为是“下载”动作的普通网络通信、文件操作行为没有任何一点不同，也就是程序角度，根本不存在“下载文件”这个定义 2014-3-5 22:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

liwenl

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (31) 1 2 ▶
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 2 楼其实研究一下安全软件不就行了么。。。早有人研究过了。 IE是hook了他里面的movefile 的api . 因为ie下载后会将文件从临时目录copy过来。然后Chrome firefox 等是使用的浏览器扩展插件。 2014-2-26 21:58 0
liwenl 雪币： 53 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 0 关注私信	liwenl 3 楼迅雷下载旋风下载怎么办？我不可能每个下载软件，每个浏览器都去找他的下载目录 2014-2-26 22:06 0
墨非雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 214 粉丝 0 关注私信	墨非 4 楼谢谢楼主这么用心写软件，我还是喜欢用沙盘。 2014-2-26 22:13 0
liwenl 雪币： 53 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 0 关注私信	liwenl 5 楼也就是那个我每次下载东西，360都有提示大概是怎么做到的？ 2014-2-26 22:31 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 6 楼这是必然的事情啊。安全软件都这样干的。 2014-2-26 22:36 0
liwenl 雪币： 53 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 0 关注私信	liwenl 7 楼我有个想法：监视每个进程的连接，有连接或者有流量什么的，就去看该进程所操作的文件。不知道行不 2014-2-26 22:45 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 8 楼比如就说chrome . 在正常运行时。正在使用的文件N个。。。 QQ还可以从群共享里面下载东西的。还可以从好友处接收东西 QQ在运行的时候文件就更多了。而且你还监视不了的。 2014-2-26 22:47 0
liwenl 雪币： 53 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 0 关注私信	liwenl 9 楼假如说我能获取该进程现在所操作的文件，一些不太危险的后缀就排除掉，其中带有比较危险的后缀比如.exe.com等，遍历进程看这些后缀名的文件是不是已经在运行，如果已经在运行就不管它，如果没有在运行，就说明可能是下载的将要运行，隔离起来。当然这样做会有漏洞，不过作为简单的防护手段还是可以的，防范别人在你离开电脑后下载病毒。 2014-2-27 09:10 0
ydfivy 雪币： 579 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 357 粉丝 0 关注私信	ydfivy 10 楼我一直也想搞一个类似的东西。但不知道咋弄。 2014-2-27 09:28 0
稻草人Z 雪币： 680 活跃值： (68) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 138 粉丝 1 关注私信	稻草人Z 2 11 楼看了楼主的问题，上网查了查，我能想到的方法就是驱动了，不过看网上也有人用其他方法实现，不过能力有限看不太懂。驱动层的我曾经照着《寒江独钓》写过一个透明加密的东西，不过没有处理过这个问题，不过这个应该是类似的，区别就是在同名加密中不判断文件的属性，对所有要复制的文件都进行操作，楼主的要求应该就是在对这些文件进行一个判断，判断的函数就使用楼主贴出来那个网址里的函数应该就可以了。 2014-2-27 10:58 0
徐博天雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 9 粉丝 0 关注私信	徐博天 12 楼把他们下载的文件给拦截了啊 2014-2-27 11:38 0
liwenl 雪币： 53 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 0 关注私信	liwenl 13 楼回复12楼:前提是我怎么知道哪个文件正在下载 2014-2-27 13:39 0
liwenl 雪币： 53 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 0 关注私信	liwenl 14 楼回复11楼：如果是微过滤喃，目前在写微过滤。如果能提供一个sfilter这样的就好了，能不能帮我试试改改看 2014-2-27 17:12 0
liwenl 雪币： 53 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 0 关注私信	liwenl 15 楼我自己已经找到办法了，现在能自动获得IE，360安全浏览器，火狐，搜狗等等浏览器的下载目录了，通过读取他们的配置文件。最近忙，有空我再放出详细情况来。 2014-3-2 18:04 0
liwenl 雪币： 53 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 0 关注私信	liwenl 16 楼 sorry，各位我已经关闭此贴了，我不知道关闭此贴悬赏都要不回来了，本来还想发点给你们，反正谢谢各位回答。 2014-3-2 18:08 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 17 楼除了每个下载工具挨个特殊处理外，不可能有你想要的神奇技术。首先一条：什么叫“从网络下载文件”你都无法从程序层面定义，只要走http端口来的数据都是下载文件？或者只要下载工具新建的文件就是下载文件？或者你怎么知道他某个socket数据是存到某个文件里面去了？然后这个动作就是下载文件时的动作？根本不靠谱的想法和做法。。。。。too young too simple 2014-3-2 18:21 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 18 楼你要玩文字游戏找楼主去啊？回复我做什么。 2014-3-2 18:58 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 19 楼分析包才是正道……这样做不彻底的 2014-3-2 19:31 0
liwenl 雪币： 53 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 0 关注私信	liwenl 20 楼回复17楼：确实没有神奇的技术，但是结合各种策略手段也能达到相同的功能，经过我综合整理，准备将各种神奇技术融合在一起，我已经成功将设计方案申报了大学项目，并获得了一万的项目资金。对于最后那句too young too simple ，古人其实已经有过回复：《史记·卷三十六》：“嗟呼，燕雀安知鸿鹄之志哉？” 2014-3-5 13:01 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 21 楼我马上写个程序，发请求从网上搞些数据下来，然后管道重定向到另外一个进程，然后写到文件……不特殊处理，你有通用办法识别我是下载了文件？ 2014-3-5 18:52 0
sunnysab 雪币： 80 活跃值： (109) 能力值： ( LV3，RANK：20 ) 在线值：发帖 19 回帖 696 粉丝 0 关注私信	sunnysab 22 楼回楼上，一般正常软件不会这么做吧？ 2014-3-5 19:22 0
liwenl 雪币： 53 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 0 关注私信	liwenl 23 楼还真有，不然学校怎么可能给我这么多钱，除了去读配置文件，通过监控进程，文件过滤驱动，网络过滤驱动，防火墙等等等等一大堆玩意凑一起，获取一堆信息来互相匹配，当然说实话不能百分之分检测到。不过准确率还是可以的，剩下的就是找更多的特征数据和更新策略算法，就是靠数据和人力堆出来的特征数据库来判断 2014-3-5 22:25 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 24 楼好吧，那正常软件频繁生成读写文件是正常的吧……进行网络通讯也是正常的吧？你有什么依据把某个或者某些网络通讯动作与某个文件生成，读写动作关联起来？ 2014-3-5 22:29 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 25 楼只要找不到将网络通讯与文件操作关键起来的依据……那所谓通用下载检测，就是玩具而已这东西只有每个支持的浏览器和下载工具单独处理才相对靠谱点所谓”下载”这个动作，只存在于人类的思维中，对计算机来说，不存在“下载”这样一个行为，人类思维中的所谓”下载”，对计算机来说，就是一堆网络通信，文件操作的动作碎片，与人类思维中不认为是“下载”动作的普通网络通信、文件操作行为没有任何一点不同，也就是程序角度，根本不存在“下载文件”这个定义 2014-3-5 22:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复