-
-
如何防止文件被某些强制删除(粉碎)工具删除
-
发表于: 2024-7-16 18:15 2324
-
前段时间研究了几种粉碎或强制删除工具,发现似乎大部分是通过直接向文件系统对象发送删除请求来完成的。这样可以比较有效的绕过文件过滤驱动的防护,虽然大致知道了原理但是怎么预防这样的破坏行为没有太多思路。其中有一个是获取驱动对象MajorFunction中的函数指针,然后进行调用的倒是还能提前替换掉该指针来防御一下(但也涉及到替换时机以及还原时机的问题等)。
有没有比较有经验的老哥给点思路,能通过哪些方法去防御
赞赏
他的文章
看原图
赞赏
雪币:
留言: