首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]关于利用sFilter进行文件动态修复的可行性探讨
发表于: 2015-7-13 11:48 7045

[求助]关于利用sFilter进行文件动态修复的可行性探讨

阿耿 活跃值
2015-7-13 11:48
7045
假设A.dll是被修改过的文件,那么如何利用sFilter进行动态修复,即在某进程读取这个文件时,修复其中被修改的字节.

现在的情况是过滤A.dll,系统的IRP_MJ_READ没有过滤到整个文件内容,而且每次过滤的内容大小为0x8000(Winxp在调试的).需要分析PE的话,文件内容不完全,分析不了.

这样的话,是不是以上想法根本实现不了

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (8)
rqqeq
雪    币: 11
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
技术上可以实现
但是没有什么意义
2015-7-13 14:14
0
阿耿
雪    币: 34
活跃值: (734)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
怎么实现,求学习
2015-7-13 17:24
0
阿耿
雪    币: 34
活跃值: (734)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
内存映射这个分支是不是过滤不了?还有就是过滤的内容都是一块一块的,不是一次读取完,这怎么处理
2015-7-13 17:26
0
rqqeq
雪    币: 11
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
这些都能处理 也有成熟方案

关键是你这么设计意义何在?
2015-7-13 22:18
0
阿耿
雪    币: 34
活跃值: (734)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
用动态修改指定进程的指定文件的内容
2015-8-13 19:04
0
elianmeng
雪    币: 967
活跃值: (1138)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
7
在写文件的时候 忽略掉就行了
干嘛别人修改后 你修复啊
2015-8-13 19:55
0
阿耿
雪    币: 34
活跃值: (734)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
文件已经之前被改了,驱动是后面启动的。动态修改的话,对于应用层是隐蔽的
2015-8-13 20:02
0
elianmeng
雪    币: 967
活跃值: (1138)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
9
感觉问的比较笼统
首先你怎么知道文件是否被修改,还有修改之前是什么样子的? 如果是一个指定文件还好说
如果是随便一个文件你怎么判断?
如果你能判断 就知道怎么修改
2015-8-13 20:06
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//