比如,a.txt 原本内容是111,加载文件过滤驱动后,看到的却是222.
xx
[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。
这里只是很简单的概述,用minifilter:
加解密写入的和保存的文本是1111,通过驱动打开文件读取的时候解密2222。[IRP_MJ_READ/IRP_MJ_WRITE]
单纯的文本替换,驱动打开读取文件的时候匹配1111,替换返回给进程2222。[IRP_MJ_READ]