保護干涉檔案的玩意

2021-04-20 21:29:31 字數 1828 閱讀 4869

by sudami

今天很倒霉,電腦到中關村修了一天,最終確定是主機板問題,無奈換了個主機板(從此決定以後有錢一定要買個ibm thinkpod的本本),然後很不爽的重灌了系統,寫的code因為電腦突然掛掉,重新開啟全是亂碼,弄了半天的心血一下就over了,之前也沒備份, 只能重寫之.

好久不寫東西,這次放點兒好玩的陳舊的東西:object+keyboard+bugcheck.

取幾個關鍵例程(iopxx)的位址後,替換或inline hook掉,在其中可以很強大的監控到系統的很多頻繁操作,ark來它來記錄監控,以後對比分析系統中可能存在的rk,是個不錯的想法. 其中乙個小模組可以用來干涉檔案的解析,查詢,複製,開啟,刪除等操作.

比如我掛鉤了其中的2個函式,乙個是解析檔案,乙個是標記檔案狀態,只要是我們關心的檔案和資料夾, 都可以處理過濾掉. 或者流氓一點,可以讓其直接藍調(方法很多,直接來個int 3,就ok了). 流氓用來做檔案自我保護是個不錯的選擇. 當然對於狙劍這樣沒有經過檔案系統,而是自己解析磁碟的,掛鉤函式就不起作用了. 但一般的ark: is, wsyscheck, gmer統統無視. 為了演示效果,我把讓其一碰就藍的code注掉了,換成一碰就自動關閉當前視窗 / 最小化所有視窗 / 切換到登入狀態, 即驅動模擬按鍵: alt+f4, (table), enter, alt+esc, win+m , win+r +"logoff"/"shutdown -l", win+l....

當然登出的等待時間太長了,驅動中沒有找到可以直接登出的方法,只能模擬按鍵; alt+f4關閉當前視窗是個不錯的選擇,當然好多自我保護做的不錯的軟體已經遮蔽掉這個了.或者彈個messagebox; win+l只是切換到登入狀態, 干擾使用者的正常操作,效果也不是很好. 當然,若不是做流氓程式,保護檔案時自然不能讓其直接bsod, 除了上面的方法,還是有其他的一些**選擇的,大家自己發揮想象,原理就是callback函式中一旦接受到notify,你可以立即進行處理, 設定event,讓r3程式來搞,或者檢測到安全軟體的啟動,就把隱藏的程序還原出來,把惡意行為隱藏起來,等到安全軟體退出時,再立馬啟動....

測試了下360和微點,效果不錯,嘿嘿,發點兒關鍵code

// 保護我們的檔案

if ( iofile_index == objectindex)

//       probeforwrite(sudami,4,4); // let it bsod.hoho~

return ;

dbgprint(

"nerver be here~/n");

goto skip;

// nerver be here~

}     }

另外,禁止檔案的建立,訪問,開啟等操作,簡單點兒的不需要fsd層面,只需掛鉤乙個函式 即可.微點就是這麼做的.嘿嘿,放點兒關鍵code,大家自由發揮吧:

ntstatus

fake_iocheckshareaccess(

access_mask desiredaccess,

ulong desiredshareaccess,

pfile_object fileobject,

pshare_access shareaccess,

boolean update

)_asm

popfd

_asm

popad

stat = orig_iocheckshareaccess(desiredaccess, desiredshareaccess,

fileobject, shareaccess, update);

skip:

_asm

nopreturn stat;

}

為什麼薄膜干涉的厚度要很小 薄膜干涉

薄膜干涉 由薄膜的上,下表面反射 或者折射 的光相遇而產生干涉 它分為 等厚干涉和等傾干涉 等厚 厚度相同的地方形成同一級的干涉條紋 等傾 傾角相同的光形成同一級的干涉條紋 而兩種干涉型別的相位差形式是類似的 其中,條紋的性質 一般考慮條紋的級數序列,條紋的移動規律,相鄰條紋的間距等。以暗條紋為例 ...

Linux chattr 檔案保護

linux chattr 檔案保護 chattr命令的用法 chattr rv v version mode files 注 最關鍵的是在 mode 部分,mode 部分是由 和 asacddiijsttu 這些字元組合的,這部分是用來控制檔案的屬性。引數 各引數選項中常用到的是a和i。a選項強制只...

標頭檔案保護

一 pragma once 比較常用 這是乙個比較常用的指令,只要在標頭檔案的最開始加入這條指令就能夠保證標頭檔案被編譯一次 pragma once用來防止某個標頭檔案被多次include,ifndef,define,endif用來防止某個巨集被多次定義。pragma once是編譯相關,就是說這個...