[求助]minifilter post_queryinformation 中修改文件大小-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]minifilter post_queryinformation 中修改文件大小

发表于: 2015-1-30 23:49 3968

[求助]minifilter post_queryinformation 中修改文件大小

大空之巅

2015-1-30 23:49

3968

minifilter做透明加解密，遇到一个坎，不知道咋过。简单代码可参照附件，就是WDK的pass through改了两个函数：PtPre_QueryInformation、PtPost_QueryInformation。
现在希望在Post回调中，将返回的文件大小修改为0。测试中，代码会执行，proc mon检测确实返回了0，但explorer和notepad++等程序得到的文件大小却不是0。某大牛提点说：要拦截所有对FCB的查询，但是不肯提示更多了。项目比较急，自己也在查资料中。希望有知道的大牛小牛能够指教下~~
感激不尽！

[课程]FART 脱壳王！加量不加价！FART作者讲授！

上传的附件：

ChangeFileSizeSys.zip （6.32kb，14次下载）

收藏・0

免费・0

支持

最新回复 (2)
AntiPsycho 雪币： 0 活跃值： (720) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 74 粉丝 0 关注私信	AntiPsycho 2 楼不一定 QueryInformation 才能拿到文件的大小 open\read 应该也可以（没有验证） 2015-1-31 09:49 0
大空之巅雪币： 45 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 23 粉丝 0 关注私信	大空之巅 3 楼感谢同学提醒，我刚刚试了下，在post_create和post_read中，打印IoStatus.Information的值，发现分别为表示STATUS_SUCCESS的0、读取的字节数。不知道同学的意思是不是检查IoStatus.Status？ 2015-1-31 11:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

大空之巅

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
AntiPsycho 雪币： 0 活跃值： (720) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 74 粉丝 0 关注私信	AntiPsycho 2 楼不一定 QueryInformation 才能拿到文件的大小 open\read 应该也可以（没有验证） 2015-1-31 09:49 0
大空之巅雪币： 45 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 23 粉丝 0 关注私信	大空之巅 3 楼感谢同学提醒，我刚刚试了下，在post_create和post_read中，打印IoStatus.Information的值，发现分别为表示STATUS_SUCCESS的0、读取的字节数。不知道同学的意思是不是检查IoStatus.Status？ 2015-1-31 11:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]minifilter post_queryinformation 中 修改文件大小

[求助]minifilter post_queryinformation 中修改文件大小