[原创]minifilter实现文件隐藏-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]minifilter实现文件隐藏

发表于: 2018-4-20 18:02 12465

[原创]minifilter实现文件隐藏

冰栈

2018-4-20 18:02

12465

用minifilter 实现文件隐藏（大神可以绕道了）,主要是根据网上的一些资料自己整合的一个系统，包括驱动层和应用层。

开发环境：win7_x64, QT5.2,WDK7600,8G

测试环境：win7_x86,2G

在看雪上也呆了一年多，经常问问题，看别人的精华帖，现在自己也来贡献一篇。

文中只处理了IRP_MJ_DIRECTORY_CONTROL这一个IRP,是在它的后操作中来实现的

主要是根据路径和文件名来隐藏，根据应用层传过来的信息判断是隐藏文件还是路径

将传入的文件信息依次放入链表中（与后操作中的文件信息进行对比，符合就断链），传入要隐藏的文件

传入要取消隐藏的文件

IRP_MJ_DIRECTORY_CONTROL的后操作

当然在驱动层还有NT路径转为DOS路径的代码，会在下面的附件里面加上。

接下来是应用层的代码，用QT写的，传给驱动层要隐藏的文件

传给驱动层要显示的文件

编译驱动文件

测试前的准备及显示

测试后的显示

打开一个新的资源管理器看能不能找到被隐藏的Windows文件夹

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

最后于 2019-2-2 10:12 被admin编辑，原因：图片本地化

上传的附件：

隐藏文件及文件夹驱动层源码及加载驱动的工具.zip （7.05MB，395次下载）

收藏・39

免费・3

支持

最新回复 (22)
某字哮天雪币： 7 活跃值： (240) 能力值： ( LV3，RANK：25 ) 在线值：发帖 3 回帖 25 粉丝 1 关注私信	某字哮天 2 楼巧了，我前段时间也刚学这个 2018-4-20 19:35 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 3 楼某字哮天巧了，我前段时间也刚学这个我以前弄得，今天才想起来发个帖 2018-4-20 19:48 0
Thead 雪币： 407 活跃值： (1816) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 4 楼大手子那个BUG你还没改呀 2018-4-20 23:26 0
武装的蔷薇雪币： 238 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 45 粉丝 1 关注私信	武装的蔷薇 5 楼 win 10系统无效 2018-4-21 20:30 0
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 52 关注私信	shayi 9 6 楼武装的蔷薇 win 10系统无效因为许多内核 API 的用法、数据结构的定义发生了变化，而且无法挫败驱动器的离线取证分析最后于 2018-4-21 22:26 被shayi编辑，原因： 2018-4-21 22:25 0
聖blue 雪币： 6818 活跃值： (153) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 358 粉丝 1 关注私信	聖blue 7 楼 2018-4-21 23:27 0
wanttobeno 雪币： 5596 活跃值： (2173) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 201 粉丝 3 关注私信	wanttobeno 8 楼感谢分享！删除工程的临时文件，重新上传一份最后于 2018-4-22 00:26 被wanttobeno编辑，原因：上传的附件：隐藏文件及文件夹驱动层源码及加载驱动的工具 (1).zip （132.43kb，141次下载） 2018-4-22 00:26 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 9 楼 Thead 大手子那个BUG你还没改呀你这个我还不清楚怎么回事隐藏不了，我也测了好多次，对你写的这个程序不起作用 2018-4-22 10:39 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 10 楼 wanttobeno 感谢分享！删除工程的临时文件，重新上传一份我也是在网上找的资料，网上有根据文件名（把文件名写死在代码中）来进行隐藏的，我只是修改了一些，还是前人的功劳 2018-4-22 10:41 0
Thead 雪币： 407 活跃值： (1816) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 11 楼我在Tesla.Angela论坛里发过源码的，也是用minifilter写的隐藏文件的，可以随便下载，你下载下来瞄哈就知道了。我比较懒代码没写完，但是效果杠杠滴。 2018-4-22 12:24 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 12 楼看到miniflt突然想说： https://github.com/JKornev/hidden 了解一下 2018-4-22 12:35 1
wx_咖啡_552099 雪币： 20 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	wx_咖啡_552099 13 楼 Thead 我在Tesla.Angela论坛里发过源码的，也是用minifilter写的隐藏文件的，可以随便下载，你下载下来瞄哈就知道了。我比较懒代码没写完，但是效果杠杠滴。能传看雪吗？ 2018-4-22 22:10 0
章鱼C 雪币： 206 活跃值： (2594) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 93 粉丝 113 关注私信	章鱼C 14 楼 cvcvxk 看到miniflt突然想说： https://github.com/JKornev/hidden 了解一下一针见血哈哈哈 2018-4-23 00:09 0
Thead 雪币： 407 活跃值： (1816) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 15 楼 wx_咖啡_552099 能传看雪吗？传了 2018-4-23 08:58 0
Nning 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 7 粉丝 0 关注私信	Nning 16 楼谁能教下我怎么用 ~ 有偿留下你的联系方式~ 2018-4-30 04:30 0
Nning 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 7 粉丝 0 关注私信	Nning 17 楼冰栈你这个我还不清楚怎么回事隐藏不了，我也测了好多次，对你写的这个程序不起作用大佬教教怎么用有偿~ 你的联系方式多少 2018-4-30 04:32 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 18 楼 Nning 谁能教下我怎么用 ~ 有偿留下你的联系方式~ 我在csdn上的介绍里写的很清楚了呀！ https://download.csdn.net/download/feixi7358/10363410 你可以看看，我这个用系统自带的资源管理器是看不见的，但是做的还不行，以后再改。 2018-4-30 15:24 0
Nning 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 7 粉丝 0 关注私信	Nning 19 楼冰栈我在csdn上的介绍里写的很清楚了呀！ https://download.csdn.net/download/feixi7358/10363410 你可以看看，我这个用系统自带的资源管理器是看不 ... 我下载了不会用~ 能加下我扣 1105613909 吗 2018-4-30 23:13 0
Goldtulip 雪币： 174 活跃值： (62) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	Goldtulip 20 楼 WIN7 32下成功， XP SP3后操作中不会进入FileIdBothDirectoryInformation的if分支，哪位大佬知道原因？ 2018-6-7 16:00 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 21 楼 Goldtulip WIN7 32下成功， XP SP3后操作中不会进入FileIdBothDirectoryInformation的if分支，哪位大佬知道原因？试试 FileBothDirectoryInformation 2018-6-7 18:44 0
Goldtulip 雪币： 174 活跃值： (62) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	Goldtulip 22 楼冰栈试试 FileBothDirectoryInformation 正解！ 2018-6-8 14:35 0
hahanikan 雪币： 24 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 28 粉丝 0 关注私信	hahanikan 23 楼这个几年前我也做过，给你加一个 CMD 里隐藏是 FileFullDirectoryInformation 2018-6-8 15:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

冰栈

发帖

153

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
某字哮天雪币： 7 活跃值： (240) 能力值： ( LV3，RANK：25 ) 在线值：发帖 3 回帖 25 粉丝 1 关注私信	某字哮天 2 楼巧了，我前段时间也刚学这个 2018-4-20 19:35 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 3 楼某字哮天巧了，我前段时间也刚学这个我以前弄得，今天才想起来发个帖 2018-4-20 19:48 0
Thead 雪币： 407 活跃值： (1816) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 4 楼大手子那个BUG你还没改呀 2018-4-20 23:26 0
武装的蔷薇雪币： 238 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 14 回帖 45 粉丝 1 关注私信	武装的蔷薇 5 楼 win 10系统无效 2018-4-21 20:30 0
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 52 关注私信	shayi 9 6 楼武装的蔷薇 win 10系统无效因为许多内核 API 的用法、数据结构的定义发生了变化，而且无法挫败驱动器的离线取证分析最后于 2018-4-21 22:26 被shayi编辑，原因： 2018-4-21 22:25 0
聖blue 雪币： 6818 活跃值： (153) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 358 粉丝 1 关注私信	聖blue 7 楼 2018-4-21 23:27 0
wanttobeno 雪币： 5596 活跃值： (2173) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 201 粉丝 3 关注私信	wanttobeno 8 楼感谢分享！删除工程的临时文件，重新上传一份最后于 2018-4-22 00:26 被wanttobeno编辑，原因：上传的附件：隐藏文件及文件夹驱动层源码及加载驱动的工具 (1).zip （132.43kb，141次下载） 2018-4-22 00:26 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 9 楼 Thead 大手子那个BUG你还没改呀你这个我还不清楚怎么回事隐藏不了，我也测了好多次，对你写的这个程序不起作用 2018-4-22 10:39 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 10 楼 wanttobeno 感谢分享！删除工程的临时文件，重新上传一份我也是在网上找的资料，网上有根据文件名（把文件名写死在代码中）来进行隐藏的，我只是修改了一些，还是前人的功劳 2018-4-22 10:41 0
Thead 雪币： 407 活跃值： (1816) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 11 楼我在Tesla.Angela论坛里发过源码的，也是用minifilter写的隐藏文件的，可以随便下载，你下载下来瞄哈就知道了。我比较懒代码没写完，但是效果杠杠滴。 2018-4-22 12:24 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 12 楼看到miniflt突然想说： https://github.com/JKornev/hidden 了解一下 2018-4-22 12:35 1
wx_咖啡_552099 雪币： 20 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	wx_咖啡_552099 13 楼 Thead 我在Tesla.Angela论坛里发过源码的，也是用minifilter写的隐藏文件的，可以随便下载，你下载下来瞄哈就知道了。我比较懒代码没写完，但是效果杠杠滴。能传看雪吗？ 2018-4-22 22:10 0
章鱼C 雪币： 206 活跃值： (2594) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 93 粉丝 113 关注私信	章鱼C 14 楼 cvcvxk 看到miniflt突然想说： https://github.com/JKornev/hidden 了解一下一针见血哈哈哈 2018-4-23 00:09 0
Thead 雪币： 407 活跃值： (1816) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 15 楼 wx_咖啡_552099 能传看雪吗？传了 2018-4-23 08:58 0
Nning 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 7 粉丝 0 关注私信	Nning 16 楼谁能教下我怎么用 ~ 有偿留下你的联系方式~ 2018-4-30 04:30 0
Nning 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 7 粉丝 0 关注私信	Nning 17 楼冰栈你这个我还不清楚怎么回事隐藏不了，我也测了好多次，对你写的这个程序不起作用大佬教教怎么用有偿~ 你的联系方式多少 2018-4-30 04:32 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 18 楼 Nning 谁能教下我怎么用 ~ 有偿留下你的联系方式~ 我在csdn上的介绍里写的很清楚了呀！ https://download.csdn.net/download/feixi7358/10363410 你可以看看，我这个用系统自带的资源管理器是看不见的，但是做的还不行，以后再改。 2018-4-30 15:24 0
Nning 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 7 粉丝 0 关注私信	Nning 19 楼冰栈我在csdn上的介绍里写的很清楚了呀！ https://download.csdn.net/download/feixi7358/10363410 你可以看看，我这个用系统自带的资源管理器是看不 ... 我下载了不会用~ 能加下我扣 1105613909 吗 2018-4-30 23:13 0
Goldtulip 雪币： 174 活跃值： (62) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	Goldtulip 20 楼 WIN7 32下成功， XP SP3后操作中不会进入FileIdBothDirectoryInformation的if分支，哪位大佬知道原因？ 2018-6-7 16:00 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 21 楼 Goldtulip WIN7 32下成功， XP SP3后操作中不会进入FileIdBothDirectoryInformation的if分支，哪位大佬知道原因？试试 FileBothDirectoryInformation 2018-6-7 18:44 0
Goldtulip 雪币： 174 活跃值： (62) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	Goldtulip 22 楼冰栈试试 FileBothDirectoryInformation 正解！ 2018-6-8 14:35 0
hahanikan 雪币： 24 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 28 粉丝 0 关注私信	hahanikan 23 楼这个几年前我也做过，给你加一个 CMD 里隐藏是 FileFullDirectoryInformation 2018-6-8 15:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复