首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 编程技术
    3. 发新帖
[已解决] minifilter最近在做文件保护 win10 shift+delete删除搞不定
2017-8-1 11:28 15516

[已解决] minifilter最近在做文件保护 win10 shift+delete删除搞不定

MaMy 活跃值
2017-8-1 11:28
15516


IRP_MJ_CREATE 拦了  

IRP_MJ_SET_INFORMATION 拦了
FileDispositionInformation  FileRenameInformation   FileBasicInformation

右键删除文件可以拦截,但是shlft+delelte 完全拦不住,

是有特殊的方法 还是 我的姿势不对? 


PS 感谢楼下 已解决



阿里云助力开发者!2核2G 3M带宽不限流量!6.18限时价,开 发者可享99元/年,续费同价!

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (16)
hzqst
雪    币: 12839
活跃值: (9013)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
hzqst 3 2017-8-1 12:46
2
0
新版win10好像不走那个IRP  你翻翻msdn吧  估计有新IRP啥的
MaMy
雪    币: 12
活跃值: (388)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
MaMy 2017-8-1 13:13
3
0
hzqst 新版win10好像不走那个IRP 你翻翻msdn吧 估计有新IRP啥的
...查了一堆  没发现新的=  =
hzqst
雪    币: 12839
活跃值: (9013)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
hzqst 3 2017-8-1 13:30
4
0
MaMy ...查了一堆 没发现新的= =
要不你去内核给PreCreate  if(name=要删除的文件名)  下面打个断点,shift+delete看看断下来CreateFile参数是怎么样的
winibear
雪    币: 46
活跃值: (914)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
winibear 2017-8-1 13:38
5
0

判断FILE_DELETE_ON_CLOSE那一行要改成:((Data->Iopb->Parameters.Create.Options&FILE_VALID_OPTION_FLAGS)& FILE_DELETE_ON_CLOSE)

沉醉星渊
雪    币: 16
活跃值: (527)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
沉醉星渊 2017-8-1 13:52
6
0
做删除为什么要在create里面拦
winibear
雪    币: 46
活跃值: (914)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
winibear 2017-8-1 14:06
7
0
在win10里,按shift+delete删除文件时,系统会在CreateFile时指定FILE_DELETE_ON_CLOSE标志,当文件句柄关闭时,文件就被删除了,不会走正常的IRP_MJ_SET_INFORMATION/FileDispositionInformation。
hzqst
雪    币: 12839
活跃值: (9013)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
hzqst 3 2017-8-1 14:06
8
0
winibear 判断FILE_DELETE_ON_CLOSE那一行要改成:((Data->Iopb->Parameters.Create.Options&am ...
突然发现他  判断flags的写法都错了
MaMy
雪    币: 12
活跃值: (388)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
MaMy 2017-8-1 14:08
9
0




winibear
在win10里,按shift+delete删除文件时,系统会在CreateFile时指定FILE_DELETE_ON_CLOSE标志,当文件句柄关闭时,文件就被删除了,不会走正常的IRP_MJ_SET ...

我试试....谢谢了 


已经解决了
MaMy
雪    币: 12
活跃值: (388)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
MaMy 2017-8-1 14:09
10
0




hzqst
突然发现他 判断flags的写法都错了

...........我...
冰栈
雪    币: 307
活跃值: (60)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
冰栈 2018-6-4 09:41
11
0
楼主,你有捕获过病毒的这些操作吗?
最后于 2018-6-4 15:01 被冰栈编辑 ,原因:
petersonhz
雪    币: 2375
活跃值: (433)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
petersonhz 2019-4-3 20:11
12
0
冰栈 楼主,你有捕获过病毒的这些操作吗?
你试过用minifilter获取所有文件创建事件么? 这带来的系统开销大么
冰栈
雪    币: 307
活跃值: (60)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
冰栈 2019-4-8 15:36
13
0
petersonhz 你试过用minifilter获取所有文件创建事件么? 这带来的系统开销大么[em_1]
我没有捕获过所有的文件创建,不过我觉得这就是一个过滤,不写内容的话,开销不大
mb_tleeravs
雪    币: 220
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
mb_tleeravs 2019-10-11 12:02
14
0
楼主您好,我是对U盘文件进行拦截,其他操作均可以捕获,就是删除U盘文件时,并不走IRP_MJ_SET_INFORMATION,删除操作拦截不到,楼主是否遇到过这种情况。
wx_在路上_561
雪    币: 20
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
wx_在路上_561 2020-4-8 15:00
15
1
楼主,请问是怎么解决的呢  能分享一下不  我也遇到这个问题了
shuyangzjg
雪    币: 6437
活跃值: (2315)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
shuyangzjg 2021-11-22 11:41
16
0
mb_tleeravs 楼主您好,我是对U盘文件进行拦截,其他操作均可以捕获,就是删除U盘文件时,并不走IRP_MJ_SET_INFORMATION,删除操作拦截不到,楼主是否遇到过这种情况。
哥们 后面有处理了不,今天也遇到u盘 捕获不到删除动作的问题
wxwzz
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
wxwzz 2022-6-9 17:24
17
0
wx_在路上_561 楼主,请问是怎么解决的呢  能分享一下不  我也遇到这个问题了

你好,请问你的问题解决了吗?

我最近在1903以上的win10版本上使用上面相同的操作,无法拦截Shift+Delete删除文件操作。

在PreCreate中捕获到删除动作,向API返回拒绝,但是文件还是被删除掉了。

1903以下win10版本没有这个问题

最后于 2022-6-9 17:26 被wxwzz编辑 ,原因: 写错内容
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回