[已解决] minifilter最近在做文件保护 win10 shift+delete删除搞不定-编程技术-看雪-安全社区|安全招聘|kanxue.com

[已解决] minifilter最近在做文件保护 win10 shift+delete删除搞不定

发表于: 2017-8-1 11:28 16584

[已解决] minifilter最近在做文件保护 win10 shift+delete删除搞不定

MaMy

活跃值

2017-8-1 11:28

16584

IRP_MJ_CREATE 拦了

IRP_MJ_SET_INFORMATION 拦了
FileDispositionInformation FileRenameInformation FileBasicInformation

右键删除文件可以拦截,但是shlft+delelte 完全拦不住,

是有特殊的方法还是我的姿势不对?

PS 感谢楼下已解决

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

141942q2iit2vv8c8d7tds.png （13.87kb，108次下载）

收藏・10

免费・0

支持

分享

最新回复 (16)
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 2 楼新版win10好像不走那个IRP 你翻翻msdn吧估计有新IRP啥的 2017-8-1 12:46 0
MaMy 雪币： 12 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 3 楼 hzqst 新版win10好像不走那个IRP 你翻翻msdn吧估计有新IRP啥的 ...查了一堆没发现新的= = 2017-8-1 13:13 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 4 楼 MaMy ...查了一堆没发现新的= = 要不你去内核给PreCreate if(name=要删除的文件名) 下面打个断点，shift+delete看看断下来CreateFile参数是怎么样的 2017-8-1 13:30 0
winibear 雪币： 46 活跃值： (1174) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	winibear 5 楼判断FILE_DELETE_ON_CLOSE那一行要改成：((Data->Iopb->Parameters.Create.Options&FILE_VALID_OPTION_FLAGS)& FILE_DELETE_ON_CLOSE) 2017-8-1 13:38 0
沉醉星渊雪币： 16 活跃值： (527) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 112 粉丝 0 关注私信	沉醉星渊 6 楼做删除为什么要在create里面拦 2017-8-1 13:52 0
winibear 雪币： 46 活跃值： (1174) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	winibear 7 楼在win10里，按shift+delete删除文件时，系统会在CreateFile时指定FILE_DELETE_ON_CLOSE标志，当文件句柄关闭时，文件就被删除了，不会走正常的IRP_MJ_SET_INFORMATION/FileDispositionInformation。 2017-8-1 14:06 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 8 楼 winibear 判断FILE_DELETE_ON_CLOSE那一行要改成：((Data->Iopb->Parameters.Create.Options&am ... 突然发现他判断flags的写法都错了 2017-8-1 14:06 0
MaMy 雪币： 12 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 9 楼 winibear 在win10里，按shift+delete删除文件时，系统会在CreateFile时指定FILE_DELETE_ON_CLOSE标志，当文件句柄关闭时，文件就被删除了，不会走正常的IRP_MJ_SET ... 我试试....谢谢了已经解决了 2017-8-1 14:08 0
MaMy 雪币： 12 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 10 楼 hzqst 突然发现他判断flags的写法都错了 ...........我... 2017-8-1 14:09 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 11 楼楼主，你有捕获过病毒的这些操作吗？最后于 2018-6-4 15:01 被冰栈编辑，原因： 2018-6-4 09:41 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 12 楼冰栈楼主，你有捕获过病毒的这些操作吗？你试过用minifilter获取所有文件创建事件么？这带来的系统开销大么 2019-4-3 20:11 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 13 楼 petersonhz 你试过用minifilter获取所有文件创建事件么？这带来的系统开销大么[em_1] 我没有捕获过所有的文件创建，不过我觉得这就是一个过滤，不写内容的话，开销不大 2019-4-8 15:36 0
mb_tleeravs 雪币： 220 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_tleeravs 14 楼楼主您好，我是对U盘文件进行拦截，其他操作均可以捕获，就是删除U盘文件时，并不走IRP_MJ_SET_INFORMATION，删除操作拦截不到，楼主是否遇到过这种情况。 2019-10-11 12:02 0
wx_在路上_561 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wx_在路上_561 15 楼楼主，请问是怎么解决的呢能分享一下不我也遇到这个问题了 2020-4-8 15:00 1
shuyangzjg 雪币： 7092 活跃值： (2988) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 216 粉丝 2 关注私信	shuyangzjg 16 楼 mb_tleeravs 楼主您好，我是对U盘文件进行拦截，其他操作均可以捕获，就是删除U盘文件时，并不走IRP_MJ_SET_INFORMATION，删除操作拦截不到，楼主是否遇到过这种情况。哥们后面有处理了不，今天也遇到u盘捕获不到删除动作的问题 2021-11-22 11:41 0
wxwzz 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wxwzz 17 楼 wx_在路上_561 楼主，请问是怎么解决的呢能分享一下不我也遇到这个问题了你好，请问你的问题解决了吗？我最近在1903以上的win10版本上使用上面相同的操作，无法拦截Shift+Delete删除文件操作。在PreCreate中捕获到删除动作，向API返回拒绝，但是文件还是被删除掉了。 1903以下win10版本没有这个问题最后于 2022-6-9 17:26 被wxwzz编辑，原因：写错内容 2022-6-9 17:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

MaMy

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//