首页
社区
课程
招聘
[讨论]文件操作监视
发表于: 2022-8-30 16:34 5823

[讨论]文件操作监视

2022-8-30 16:34
5823

       这是一个记录目录内文件被操作的X64程序。一个记录的文本文件保存200条记录,文件被操作的行为不断记录,直到您在托盘上停止或退出运行。这有助于您分析某些软件在启动、运行、退出时,哪些文件新建,哪些文件删除,哪些文件被修改,包括对文件安全属性的修改。


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 6084
活跃值: (5490)
能力值: ( LV5,RANK:65 )
在线值:
发帖
回帖
粉丝
2
是利用ReadDirectoryChangesW实现的吗?
2022-8-30 17:19
0
雪    币: 2081
活跃值: (1716)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
无法下载, 检测到病毒。 windows 自带的防火墙
2022-8-30 18:26
0
雪    币: 248
活跃值: (1096)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4

       感谢关注及回帖!


无法下载, 检测到病毒。 windows 自带的防火墙

       首先,声明:作者没有利用这小工具传播计算机病毒的企图。如果确认rFile_1.exe含病毒,那么作者也是受害者之一,表明作者的计算机系统已被病毒感染,且毫无察觉。
       另外,需要说明的是:作者的OS系统是正版Windows 10 专业版,系统补丁是最新的;M$的Defender和其补丁也是最新的。Defender没有发现异常,如果确认rFile_1.exe含病毒,那么该病毒的毒性非同一般,它至少阉割了M$的Defender,能在最新版的OS上驰骋,具有逆向工程的分析价值,还望关注反病毒技术的同志剖析。
       任何反病毒软件都有误动和拒动的特性,因为计算机病毒技术和反病毒技术在此消彼长地发展。“误动”有说服力的实例是:MASM的SDK(X64)包下载时也报含病毒,正常下载需要在M$的Defender中加白名单。我深信MASM的SDK(X64)包的运维者没有传播计算机病毒的企图。

是利用ReadDirectoryChangesW实现的吗?

        嗯。目前读、写采用同步I/O模式,正准备改为异步I/O模式,这样运行效率可大大提高。

2022-8-31 08:50
0
游客
登录 | 注册 方可回帖
返回
//