前段时间研究了几种粉碎或强制删除工具,发现似乎大部分是通过直接向文件系统对象发送删除请求来完成的。这样可以比较有效的绕过文件过滤驱动的防护,虽然大致知道了原理但是怎么预防这样的破坏行为没有太多思路。其中有一个是获取驱动对象MajorFunction中的函数指针,然后进行调用的倒是还能提前替换掉该指针来防御一下(但也涉及到替换时机以及还原时机的问题等)。
有没有比较有经验的老哥给点思路,能通过哪些方法去防御
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
