首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]MiniFilter是不是要绑定标卷?C盘生效D盘不生效
发表于: 2018-11-9 14:10 3622

[求助]MiniFilter是不是要绑定标卷?C盘生效D盘不生效

DepressedMan 活跃值
2018-11-9 14:10
3622
隐藏文件所有盘的生效 Pre Create 里禁止文件操作只有C盘生效D盘不生效 PCHunter C盘的被禁止的文件显示红色D盘不显示红色

下面是绑定标卷的代码
NTSTATUS PfltInstanceSetupCallback(PCFLT_RELATED_OBJECTS FltObjects, FLT_INSTANCE_SETUP_FLAGS Flags, DEVICE_TYPE VolumeDeviceType, FLT_FILESYSTEM_TYPE VolumeFilesystemType)
{
	return STATUS_SUCCESS;
}
这是Pre Create的代码
FLT_PREOP_CALLBACK_STATUS PfltPreOperationCallbackCreate(PFLT_CALLBACK_DATA Data, PCFLT_RELATED_OBJECTS FltObjects, PVOID *CompletionContext)
{
	PFLT_FILE_NAME_INFORMATION stNameInfo;
	NTSTATUS lStatus = FltGetFileNameInformation(Data, FLT_FILE_NAME_OPENED | FLT_FILE_NAME_QUERY_ALWAYS_ALLOW_CACHE_LOOKUP, &stNameInfo);
	if (!NT_SUCCESS(lStatus))
	{
	return FLT_PREOP_SUCCESS_NO_CALLBACK;
	}
	lStatus = FltParseFileNameInformation(stNameInfo);

	if (!NT_SUCCESS(lStatus))
	{
	return FLT_PREOP_SUCCESS_NO_CALLBACK;
	}

	PWCHAR szFileName = (PWCHAR)ExAllocatePool(NonPagedPool, stNameInfo->Name.MaximumLength);

	RtlCopyMemory(szFileName, stNameInfo->Name.Buffer, stNameInfo->Name.MaximumLength);

	if (wcsstr(szFileName, L"AAAA.pak"))
	{
		DbgPrint("禁止文件操作");
		FltReleaseFileNameInformation(stNameInfo);
		return FLT_PREOP_COMPLETE;
	}
	FltReleaseFileNameInformation(stNameInfo);

	return FLT_PREOP_SUCCESS_NO_CALLBACK;
}


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (8)
MaMy
雪    币: 12
活跃值: (423)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
@腾讯游戏安全 请
2018-11-9 15:35
0
hzqst
雪    币: 12848
活跃值: (9147)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
3
@BlueHoles.Studio  @BattlEye Innovations 请开始你们的表演
2018-11-9 15:56
0
万剑归宗
雪    币: 914
活跃值: (2473)
能力值: ( LV5,RANK:68 )
在线值:
发帖
回帖
粉丝
私信
4
干脆把大手子封了
2018-11-9 15:57
0
DepressedMan
雪    币: 164
活跃值: (493)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
万剑归宗 干脆把大手子封了[em_1]
你们搞什么
2018-11-9 15:59
0
wem
雪    币: 515
活跃值: (3272)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
wem
6
好神秘的对话
2018-11-9 17:11
0
沉醉星渊
雪    币: 16
活跃值: (527)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
你这是什么什么乱七八糟的,返回完成,至少返回值改一下吧,instancesetup只处理c盘,那你验证一下d盘不挂载实例不就好了
2019-6-24 10:41
0
petersonhz
雪    币: 2375
活跃值: (433)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
DepressedMan 你们搞什么[em_16]
大黄狗想咬你呢
2019-6-27 16:17
0
xssysing
雪    币: 938
活跃值: (948)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
至少该给个返回值吧,另外卷如果返回  STATUS_SUCCESS 系统帮你去做绑定,
你确定不是这个地方的问题,if (wcsstr(szFileName, L"AAAA.pak")),看看大小写,填一下Data的返回值。                                
Data->IoStatus.Status = STATUS_ACCESS_DENIED;
Data->IoStatus.Information = 0;
FltCallBackStatus = FLT_PREOP_COMPLETE;
2019-6-27 17:39
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//