2. 本来以为文件系统的栈单元是没有被设置完成例程的,结果使用冰刃的文件功能就蓝屏。后来发现冰刃设置了irp完成例程,解决方法就是在处理完irp返回的数据后调用老的完成例程。 如果要想检测到这样的方式隐藏的文件,可以绕过文件系统,向磁盘发送irp来检测。 最后附张测试截图: 0盘下是有hack.sys,但是冰刃并没有检测到。  本文在VS2010+WDK7600编译成功,在VM+XP sp3中通过测试。 |
2. 本来以为文件系统的栈单元是没有被设置完成例程的,结果使用冰刃的文件功能就蓝屏。后来发现冰刃设置了irp完成例程,解决方法就是在处理完irp返回的数据后调用老的完成例程。 如果要想检测到这样的方式隐藏的文件,可以绕过文件系统,向磁盘发送irp来检测。 最后附张测试截图: 0盘下是有hack.sys,但是冰刃并没有检测到。 本文在VS2010+WDK7600编译成功,在VM+XP sp3中通过测试。 |
随着网络技术的迅速发展,信息沟通也是信息化管理的一 部分....
过VBScript对PSD文档信息的读取方法,实现Photoshop作业的机器阅卷...
本篇文章我们主要讲述 hello world 程序的执行,这一次我们不从...
前段时间,我们实验室需要为外面某公司开发一个安全方面的软...
本文介绍的是在文件系统层上绕过冰刃的文件检测功能,而不是...
在写这篇文章之前我犹豫了很久,到底要不要把这些鲜为人知的...