首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]用minifilter实现沙盒的删除操作时的困惑 [ 在线等 ]
发表于: 2018-11-26 14:51 3247

[求助]用minifilter实现沙盒的删除操作时的困惑 [ 在线等 ]

dsqyg 活跃值
2018-11-26 14:51
3247
最近在撸一个简易版的沙盒,在处理删除操作的时候很是困惑。

实验中在用记事本创建文件时,也会收到IRP == IRP_MJ_SET_INFORMATION && FileInformationClass == FileDispositionInformation的这个IRP。



这时该怎么处理删除的操作?


或者该怎么真正正确的过滤删除操作?








[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2018-11-26 14:52 被dsqyg编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (6)
hzqst
雪    币: 12848
活跃值: (9147)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
2
IRP == IRP_MJ_SET_INFORMATION && FileInformationClass == FileDispositionInformation&& fileinfo.deletefile=1
2018-11-26 20:23
0
dsqyg
雪    币: 1258
活跃值: (598)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
hzqst IRP == IRP_MJ_SET_INFORMATION && FileInformationClass == FileDispositionInformation&& ...
记事本保存文件时,收到的信息和删除时收到的信息是一样的,所以这个判断是无效的
2018-11-27 10:07
0
hzqst
雪    币: 12848
活跃值: (9147)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
4
dsqyg 记事本保存文件时,收到的信息和删除时收到的信息是一样的,所以这个判断是无效的
我猜测记事本保存=删除+重新创建一份同名的文件?
2018-11-27 10:52
0
dsqyg
雪    币: 1258
活跃值: (598)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
首先谢谢你的回答!那么接下来该如何去拦截这种操作?因为我可能需要在删除文件时建立标识文件在沙盒中?
最后于 2018-11-27 14:36 被dsqyg编辑 ,原因:
2018-11-27 14:35
0
dsqyg
雪    币: 1258
活跃值: (598)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
hzqst 我猜测记事本保存=删除+重新创建一份同名的文件?
首先谢谢你的回答!那么接下来该如何去拦截这种操作?因为我可能需要在删除文件时建立标识文件在沙盒中?
2018-11-27 14:36
0
沉醉星渊
雪    币: 16
活跃值: (527)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
沙盒中需要创建删除标记,用删除标记标识你已经删除了这个文件
2019-9-9 14:07
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//