[分享] minifilter隐藏文件-编程技术-看雪-安全社区|安全招聘|kanxue.com

[分享] minifilter隐藏文件

发表于: 2018-4-23 08:57 8486

[分享] minifilter隐藏文件

Thead

2018-4-23 08:57

8486

思路来源于各大论坛大手子，我只是把思路变成代码，故不敢声称原创。

本文类容我在 Tesla.Angela 的论坛发过。昨天有坛友说在这边也发一下，故此。

NtQueryDirectoryFile 遍历目录，有个通用套路，还有个与众不同的套路。通用套路就是目录下的所有子目录与文件都在一个缓冲区，此时，网上的隐藏代码是没有毛病的。另一个套路是：每次只返回一个查询结果，分N次返回，此时，网上的隐藏套路就炸了。

IRP_MJ_DIRECTORY_CONTROL后操作隐藏文件。可以隐藏每次只返回一个查询结果的情况。

BUG：
1. 隐藏某文件后，在该目录下新建文件，并重命名为隐藏的那个文件，将导致重入。还没想到一个高效的解决办法。详见代码(好像后来解决了这个问题的，我不记得了)
2. 隐藏后需刷新才能生效。目测采用FltNotifyFilterChangeDirectory可解决此问题。(此处，应使用如下代码解决此问题： SHChangeNotify ( SHCNE_ASSOCCHANGED, SHCNF_IDLIST, NULL, NULL ); )

说明：
1. minifilter加载方法来自tangptr@126.com
2. 隐藏代码来自论坛第八个男人的“cmjrm888”及github的“killbug2004”
3. 隐藏单入口查询的思路来自驱网"znsoft"
4. 感谢以上各位

效果如下( Folder Protect价值40刀 )

[课程]Android-CTF解题方法汇总！

上传的附件：

Windows 7-2017-10-31-09-09-00.png （590.28kb，67次下载）
minifilter.rar （4.68kb，448次下载）

收藏・15

免费・1

支持

最新回复 (25) 1 2 ▶
niuzuoquan 雪币： 310 活跃值： (2227) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 520 粉丝 2 关注私信	niuzuoquan 2 楼谢谢分享 2018-4-23 19:03 0
wanttobeno 雪币： 5511 活跃值： (2072) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 200 粉丝 3 关注私信	wanttobeno 3 楼感谢分享！ 2018-4-24 21:09 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 4 楼你的代码用什么工具卸载的，我加载好了，卸载的时候老师蓝屏 2018-4-28 15:13 0
Thead 雪币： 407 活跃值： (1746) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 5 楼这个驱动，因为加载的时候，是按照传统驱动的加载方式去加载的，所以卸载是有问题的 2018-4-28 20:07 0
JACK李冰雪币： 1454 活跃值： (84) 能力值： (RANK：10 ) 在线值：发帖 35 回帖 102 粉丝 16 关注私信	JACK李冰 6 楼这个隐藏文件，玩绝地求生好卡 2018-6-5 16:28 0
沉醉星渊雪币： 16 活跃值： (527) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 112 粉丝 0 关注私信	沉醉星渊 7 楼 SHChangeNotify 这个是应用层函数吧，你这样说对吗 2018-6-5 17:06 0
Thead 雪币： 407 活跃值： (1746) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 8 楼 JACK李冰这个隐藏文件，玩绝地求生好卡这个只是个例子，展示文件隐藏的实现思路。IRP_MJ_DIRECTORY_CONTROL的后操作里调用FltGetFileNameInformation是很慢的。 2018-6-6 09:27 0
Thead 雪币： 407 活跃值： (1746) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 9 楼沉醉星渊 SHChangeNotify 这个是应用层函数吧，你这样说对吗想个办法在应用层调SHChangeNotify就行了 2018-6-6 09:28 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 10 楼我在WIN2008上架设的IIS，用了网上公开的minifilter 驱动，只要网站访问量1大，就卡死，这个是个通病，怎么解决？ 2018-10-3 19:53 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 11 楼而用商业版本的隐藏工具，就没这个问题 2018-10-3 20:04 0
Thead 雪币： 407 活跃值： (1746) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 12 楼 dayang 我在WIN2008上架设的IIS，用了网上公开的minifilter 驱动，只要网站访问量1大，就卡死，这个是个通病，怎么解决？有一个取文件对象名字的API会很慢，忘记是哪一个了。你可以去掉取名字的API试一下还慢不慢最后于 2018-10-8 14:40 被Thead编辑，原因： 2018-10-8 13:54 0
dragonwang 雪币： 113 活跃值： (76) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 33 粉丝 0 关注私信	dragonwang 13 楼为什么调用RetrieveFilesAndHide判断两次？下面while（1）再次调用RetrieveFilesAndHide的用意为何？谢谢 2018-10-8 21:14 0
Thead 雪币： 407 活跃值： (1746) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 14 楼 dragonwang 为什么调用RetrieveFilesAndHide判断两次？下面while（1）再次调用RetrieveFilesAndHide的用意为何？谢谢常规的遍历操作是提供足够的缓冲区，把目录下的所有内容都放到那个缓冲区。然而还有种操作是：每次缓冲区里返回的内容只有一个，而不是多个。在这种情况下，如果被隐藏的是第一个文件，那么返回给上层的应该是第二个；如果第二个也被隐藏了，那就需要返回第三个给上层 2018-10-8 23:52 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 15 楼大体是哪个API? 最后于 2018-10-9 09:30 被dayang编辑，原因： 2018-10-9 09:29 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 16 楼 Thead dayang 我在WIN2008上架设的IIS，用了网上公开的minifilter 驱动，只要网站访问量1大，就卡死，这个是个通病，怎么解决？有一个取 ... dayang 我在WIN2008上架设的IIS，用了网上公开的minifilter 驱动，只要网站访问量1大，就卡死，这个是个通病，怎么解决？有一个取文件对象名字的API会很慢，忘记是哪一个了。你可以去掉取名字的API试一下还慢不慢 FltGetFileNameInformation ？？？？？？？？不用判断名字，那还怎么隐藏啊？最后于 2018-10-9 09:33 被dayang编辑，原因： 2018-10-9 09:29 0
Thead 雪币： 407 活跃值： (1746) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 17 楼 dayang Thead dayang 我在WIN2008上架设的IIS，用了网上公开的minifilter 驱动，只要网站访问量 ... 啧，获取文件对象的名字的接口有很多，你换一个看看是不是那个接口的问题 2018-10-9 13:41 0
ielts 雪币： 965 活跃值： (89) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 254 粉丝 1 关注私信	ielts 18 楼感谢分享！ 2018-10-16 15:44 0
DepressedMan 雪币： 164 活跃值： (493) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 56 粉丝 1 关注私信	DepressedMan 19 楼让PCHunter显示红色的是哪一步？我也做了隐藏但是可以隐藏PCHunter不显示红色 2018-11-8 14:54 0
Thead 雪币： 407 活跃值： (1746) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 20 楼 DepressedMan 让PCHunter显示红色的是哪一步？我也做了隐藏但是可以隐藏PCHunter不显示红色啧，IRP_MJ_CREATE的预操作返回STATUS_ACCESS_DENIED 2018-11-8 15:16 0
DepressedMan 雪币： 164 活跃值： (493) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 56 粉丝 1 关注私信	DepressedMan 21 楼 Thead 啧，IRP_MJ_CREATE的预操作返回STATUS_ACCESS_DENIED 我看你的代码里没写这个呀 2018-11-8 15:24 1
Thead 雪币： 407 活跃值： (1746) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 22 楼 DepressedMan 我看你的代码里没写这个呀啧，你用我的代码，成功隐藏了？ 2018-11-8 17:59 0
DepressedMan 雪币： 164 活跃值： (493) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 56 粉丝 1 关注私信	DepressedMan 23 楼 Thead 啧，你用我的代码，成功隐藏了？参考了下 2018-11-8 18:08 0
DepressedMan 雪币： 164 活跃值： (493) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 56 粉丝 1 关注私信	DepressedMan 24 楼 DepressedMan 参考了下貌似这个返回值只能把C盘的变红色D盘的就变不了红色 2018-11-8 18:09 0
DepressedMan 雪币： 164 活跃值： (493) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 56 粉丝 1 关注私信	DepressedMan 25 楼 DepressedMan 参考了下貌似这个返回值只能把C盘的变红色D盘的就变不了红色 2018-11-8 18:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Thead

发帖

142

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (25) 1 2 ▶
niuzuoquan 雪币： 310 活跃值： (2227) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 520 粉丝 2 关注私信	niuzuoquan 2 楼谢谢分享 2018-4-23 19:03 0
wanttobeno 雪币： 5511 活跃值： (2072) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 200 粉丝 3 关注私信	wanttobeno 3 楼感谢分享！ 2018-4-24 21:09 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 4 楼你的代码用什么工具卸载的，我加载好了，卸载的时候老师蓝屏 2018-4-28 15:13 0
Thead 雪币： 407 活跃值： (1746) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 5 楼这个驱动，因为加载的时候，是按照传统驱动的加载方式去加载的，所以卸载是有问题的 2018-4-28 20:07 0
JACK李冰雪币： 1454 活跃值： (84) 能力值： (RANK：10 ) 在线值：发帖 35 回帖 102 粉丝 16 关注私信	JACK李冰 6 楼这个隐藏文件，玩绝地求生好卡 2018-6-5 16:28 0
沉醉星渊雪币： 16 活跃值： (527) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 112 粉丝 0 关注私信	沉醉星渊 7 楼 SHChangeNotify 这个是应用层函数吧，你这样说对吗 2018-6-5 17:06 0
Thead 雪币： 407 活跃值： (1746) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 8 楼 JACK李冰这个隐藏文件，玩绝地求生好卡这个只是个例子，展示文件隐藏的实现思路。IRP_MJ_DIRECTORY_CONTROL的后操作里调用FltGetFileNameInformation是很慢的。 2018-6-6 09:27 0
Thead 雪币： 407 活跃值： (1746) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 9 楼沉醉星渊 SHChangeNotify 这个是应用层函数吧，你这样说对吗想个办法在应用层调SHChangeNotify就行了 2018-6-6 09:28 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 10 楼我在WIN2008上架设的IIS，用了网上公开的minifilter 驱动，只要网站访问量1大，就卡死，这个是个通病，怎么解决？ 2018-10-3 19:53 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 11 楼而用商业版本的隐藏工具，就没这个问题 2018-10-3 20:04 0
Thead 雪币： 407 活跃值： (1746) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 12 楼 dayang 我在WIN2008上架设的IIS，用了网上公开的minifilter 驱动，只要网站访问量1大，就卡死，这个是个通病，怎么解决？有一个取文件对象名字的API会很慢，忘记是哪一个了。你可以去掉取名字的API试一下还慢不慢最后于 2018-10-8 14:40 被Thead编辑，原因： 2018-10-8 13:54 0
dragonwang 雪币： 113 活跃值： (76) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 33 粉丝 0 关注私信	dragonwang 13 楼为什么调用RetrieveFilesAndHide判断两次？下面while（1）再次调用RetrieveFilesAndHide的用意为何？谢谢 2018-10-8 21:14 0
Thead 雪币： 407 活跃值： (1746) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 14 楼 dragonwang 为什么调用RetrieveFilesAndHide判断两次？下面while（1）再次调用RetrieveFilesAndHide的用意为何？谢谢常规的遍历操作是提供足够的缓冲区，把目录下的所有内容都放到那个缓冲区。然而还有种操作是：每次缓冲区里返回的内容只有一个，而不是多个。在这种情况下，如果被隐藏的是第一个文件，那么返回给上层的应该是第二个；如果第二个也被隐藏了，那就需要返回第三个给上层 2018-10-8 23:52 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 15 楼大体是哪个API? 最后于 2018-10-9 09:30 被dayang编辑，原因： 2018-10-9 09:29 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 16 楼 Thead dayang 我在WIN2008上架设的IIS，用了网上公开的minifilter 驱动，只要网站访问量1大，就卡死，这个是个通病，怎么解决？有一个取 ... dayang 我在WIN2008上架设的IIS，用了网上公开的minifilter 驱动，只要网站访问量1大，就卡死，这个是个通病，怎么解决？有一个取文件对象名字的API会很慢，忘记是哪一个了。你可以去掉取名字的API试一下还慢不慢 FltGetFileNameInformation ？？？？？？？？不用判断名字，那还怎么隐藏啊？最后于 2018-10-9 09:33 被dayang编辑，原因： 2018-10-9 09:29 0
Thead 雪币： 407 活跃值： (1746) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 17 楼 dayang Thead dayang 我在WIN2008上架设的IIS，用了网上公开的minifilter 驱动，只要网站访问量 ... 啧，获取文件对象的名字的接口有很多，你换一个看看是不是那个接口的问题 2018-10-9 13:41 0
ielts 雪币： 965 活跃值： (89) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 254 粉丝 1 关注私信	ielts 18 楼感谢分享！ 2018-10-16 15:44 0
DepressedMan 雪币： 164 活跃值： (493) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 56 粉丝 1 关注私信	DepressedMan 19 楼让PCHunter显示红色的是哪一步？我也做了隐藏但是可以隐藏PCHunter不显示红色 2018-11-8 14:54 0
Thead 雪币： 407 活跃值： (1746) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 20 楼 DepressedMan 让PCHunter显示红色的是哪一步？我也做了隐藏但是可以隐藏PCHunter不显示红色啧，IRP_MJ_CREATE的预操作返回STATUS_ACCESS_DENIED 2018-11-8 15:16 0
DepressedMan 雪币： 164 活跃值： (493) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 56 粉丝 1 关注私信	DepressedMan 21 楼 Thead 啧，IRP_MJ_CREATE的预操作返回STATUS_ACCESS_DENIED 我看你的代码里没写这个呀 2018-11-8 15:24 1
Thead 雪币： 407 活跃值： (1746) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 142 粉丝 4 关注私信	Thead 22 楼 DepressedMan 我看你的代码里没写这个呀啧，你用我的代码，成功隐藏了？ 2018-11-8 17:59 0
DepressedMan 雪币： 164 活跃值： (493) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 56 粉丝 1 关注私信	DepressedMan 23 楼 Thead 啧，你用我的代码，成功隐藏了？参考了下 2018-11-8 18:08 0
DepressedMan 雪币： 164 活跃值： (493) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 56 粉丝 1 关注私信	DepressedMan 24 楼 DepressedMan 参考了下貌似这个返回值只能把C盘的变红色D盘的就变不了红色 2018-11-8 18:09 0
DepressedMan 雪币： 164 活跃值： (493) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 56 粉丝 1 关注私信	DepressedMan 25 楼 DepressedMan 参考了下貌似这个返回值只能把C盘的变红色D盘的就变不了红色 2018-11-8 18:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复