Hook ZwSetInformationFile, 根据目标路径拦截MoveFile移动文件

最新推荐文章于 2023-06-13 10:07:56 发布
原创 最新推荐文章于 2023-06-13 10:07:56 发布 · 1.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#hook #file #struct #class 

Hook ZwSetInformationFile, 根据目标路径拦截MoveFile移动文件
    MoveFile的形式为:MoveFile( LPCTSTR lpExistingFileName, LPCTSTR lpNewFileName),现需要根据
lpNewFileName的路径来判断是否可以移动,在这我们Hook ZwSetInformationFile实现的,跟踪MoveFile可知,
它会调用ZwSetInformationFile实现文件移动功能,此时FileInformationClass为0x0A,且FileInformation的
结构_FILE_RENAME_INFORMATION是未公开的,逆向可得其结构:
typedef struct _FILE_RENAME_INFORMATION {
    BOOLEAN ReplaceIfExists;
    HANDLE  RootDirectory;
    ULONG   FileNameLength;
    WCHAR   FileName[1];
} FILE_RENAME_INFORMATION, *PFILE_RENAME_INFORMATION;
   Hook ZwSetInformationFile,当FileInformationClass等于0x0A时,从FILE_RENAME_INFORMATION结构中取出
FileName(其长度为FileNameLength),这就是宽字符的lpNewFileName。然后作判断。

ZwSetInformationFile形式:
NTSTATUS
ZwSetInformationFile(
IN HANDLE FileHandle,
OUT PIO_STATUS_BLOCK IoStatusBlock,
IN PVOID FileInformation,
IN ULONG Length,
IN FILE_INFORMATION_CLASS FileInformationClass
);
C++程序调用SetWindowsHookEx全局拦截键盘按键消息和窗口消息的Hook实例分享
dvlinker的技术专栏
08-28 1万+
本文分享调用SetWindowsHookEx全局拦截键盘按键消息和窗口消息的两个Hook实例。
爬虫逆向:Hook 技术原理与实战
热门推荐
数据知道的博客
03-14 1万+
Hook 技术​(钩子技术)是一种通过拦截和修改程序执行流程的技术手段。它允许开发者在目标程序的特定位置插入自定义代码,以改变程序的默认行为或获取运行时信息。Hook 技术广泛应用于调试、逆向工程、性能分析、安全防护等领域。Hook 技术在爬虫逆向中非常有用,能够有效获取和修改目标程序的数据。通过合理使用 Hook 工具和技术,可以显著提升爬虫的效率和成功率。但使用时需注意法律和道德问题,确保行为合规。
【Android】Frida Hook 文件读写操作
HWHXY的博客
06-13 4545
在挖掘客户端漏洞的时候,通常会关注应用对什么文件进行了读写操作,当我们能控制被读的文件或观测到敏感写入的文件,通常可以造成一定危害。本文详细介绍了如何通过frida监控文件读写操作。
aardio - 远程APIHOOK拦截弹窗
光庆的学习笔记
02-07 2886
为了写这个教程,自己写了个CrackMe。(总不能拿别人的软件写教程,那就侵权了^-^) 运行效果如下: 软件运行后,弹出广告网址和信息框。我们的目的就是去掉这两个东西。 一、分析: 1、弹出网址,因为用的默认浏览器,而不是ie,所以一般都是用ShellExecute函数。 2、信息框,一般是MessageBox函数,如果是自动关闭的,就是MessageBoxTimeout函数。 二、hook方式目前我觉得比较简单实用的有三种: 1、写dll,定义替代函数,然后用aardio进行注入+ho
x64内核HOOK技术之拦截
xuq09的专栏
06-10 3527
转:https://www.cnblogs.com/iBinary/p/8399312.html 截进程.拦截线程.拦截模块 一丶为什么讲解HOOK技术. 在32系统下,例如我们要HOOK SSDT表,那么直接讲CR0的内存保护属性去掉.直接讲表的地址修改即可. 但是在64位系统下,不可以这样操作了. 第一是因为 SSDT表加密了. 第二是 SSDT表你就算解密了....
Windows消息拦截技术的应用(Hook钩子)
lzzw的学习之路
08-25 1万+
一、前 言 众所周知,Windows程式的运行是依靠发生的事件来驱动。换句话说,程式不断等待一个消息的发生,然后对这个消息的类型进行判断,再做适当的处理。处理完此次消息后又回到等待状态。从上面对Windows程式运行机制的分析不难发现,消息在用户与程式之间进行交流时起了一种中间“语言”的作用。在程式中接收和处理消息的主角是窗口,它通过消息泵接收消息,再通过一个窗口过程对消息进行相应的处理。 消息拦截的实现是在窗口过程处理消息之前拦截到消息并做相关处理后再传送给原窗口过程。通常情况下,程序员可以在窗口过程
利用HOOKAPI拦截文件操作
bruce135lee的专栏
02-09 4024
先读下HookAPI 使用文档:功能简介HookAPI 是一个截获Windows 32位API函数的开发包,它可以在Windows调用某个API函数的时候,先调用自己编写的函数,从而实现特殊的功能。HookAPI同样也适用于截获用户自己编写的DLL文件中的输出函数。 1.5系统特点:1)自己编写的替代函数的参数形式和原API函数完全一样,方便了Delphi和VB用户的使用。2)实时截获所有新建立的...
Hook实现文件监控
sinat_36391009的博客
11-29 7446
介绍 该Windows文件监控系统旨在为Windows环境中的文件提供安全性。我需要设计一个应用程序来监视Windows上的文件打开、关闭和保存操作,并限制用户在安装此实用程序之前访问文件类型的子集。这是通过连接Windows文件相关api,然后根据需要在Windows中对文件进行打开、保存和关闭操作的预处理来实现的。预处理可能是对文件进行加密,破坏文件的标题部分等。如果在系统上安装了这个实用程序...
Hook技术拦截跳转登录
戒不掉的码瘾
09-10 2446
     其实现在的开发中大多支持游客模式,但是一些需要绑定用户的模块就需要用户登录,这时候用Hook就方便多了。 1、确定Hook点       确定Hook点的原则就是生命周期比较长,不会轻易重新创建,一般寻找静态变量和单例。 劫持登录就需要Hook到页面跳转的静态变量调用者,下面我们根据startActivity方法去寻找Hook点(此处查找源码为Android23,在26版本静态变量有变化...
易语言 拦截文件读写 APIhook
05-06
易语言 拦截文件读写 APIhook 拦截打开文件 拦截文件读入 拦截文件长度 拦截文件读写位置
易语言使用APIhook进行拦截文件读写
09-02
易语言使用APIhook进行拦截文件读写,拦截文件读写,使用apihook
精选资源
API_HOOK监控删除和移动带有某字样的文件.rar
04-21
API Hook被用来拦截文件操作相关的API,例如`DeleteFile`和`MoveFile`,这些都是Windows API中用于删除和移动文件的关键函数。 一旦这些API被拦截,我们可以添加自定义逻辑来检查被操作的文件名。如果文件名中...
windows环境下hook文件及目录操作,拷贝,删除,移动,重命名,新建,读写
最新发布
10-27
文件操作方面,hook技术可以用来拦截文件操作相关的API调用,如CreateFile、WriteFile、ReadFile、DeleteFileMoveFile等。这些函数被调用时,通过hook可以捕获到相关操作信息,并根据需要执行额外的逻辑处理。 ...
API HOOK易语言IP端口拦截转向源码
04-20
6. **处理IP和端口**:在Hook函数中,一旦检测到目标IP和端口,可以根据需求进行拦截或转向操作。这可能包括修改网络数据包中的IP和端口信息,或者完全阻止或转发通信。 7. **解除Hook**:当不再需要拦截或转向时,...
"The value of ESP was not properly saved across a function call. ..."错误的解决方法
06-21 3607
MFC, WTL中实现文件拖动功能
05-23 639
MFC, WTL中实现文件拖动功能:1  新建一对话框工程。2 在对话框的属性中将“Accept Files”一项勾选上。3 添加消息,   在MFC中添加 ,ON_MESSAGE(WM_DROPFILES, OnDropFiles)   在WTL中添加,MSG_WM_DROPFILES(OnDropFiles)4 写OnDropFiles(HDROP hDropInfo)方法void OnDro
取一个进程的父进程名
10-17 582
#include #include #include #include int main(int argc, char* argv[]){    DWORD dwCurProId = 0, dwParentId = 0;    HANDLE hProcess = NULL, hProcessSnap = NULL;    PROCESSENTRY32 pe32 = {0};    pe32.dwS
病毒 资料篇
11-12 508
1 服务器ARP攻击《服务器被ARP攻击了》 http://www.zenghuijun.com/post/ARP-attack.html《服务器ARP病毒攻击分析与防御》http://www.cuobie.cn/blog/parser-server-arp-attack.html《ARP欺骗攻击防护》http://www.7x24.cn/colocation/arp-safety.htm《ARP
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值