本文介绍了如何通过hook操作系统的SSDT(系统服务描述表)来阻止特定文件的删除。通过跟踪`DeleteFile` API的执行流程,hook `ZwSetInformationFile`内核函数,当尝试删除指定文件时返回`ACCESS DENIED`,以此实现文件保护。示例代码展示了在Windows XP上的实现,并提及这种方法对某些工具可能无效。
被玩烂了的SSDT,索性就让它更烂吧,没啥技术含量,只是想增进下和驱动的感情,慢慢跟上那帮人的步伐。关于SSDT的描述,推荐看下堕落天才的文章:http://bbs.pediy.com/showthread.php?t=40832。
OD跟踪DeleteFile API的执行流程,会大致看到这样的调用:
DeleteFileA -> DeleteFileW -> ntdll.ZwSetInformationFile
ntdll.ZwSetInformationFile后就转到调用内核里的ZwSetInformationFile了,只要HOOK内核里的ZwSetInformationFile,然后比较一下文件名,与要保护的文件名相同时返回拒绝访问就行了。ZwSetInformationFile在SSDT里的服务号可以在函数地址+1的地方取出:
lkd> u nt!ZwSetInformationFile
nt!ZwSetInformationFile:
805013d4 b8e0000000 mov eax,0E0h
805013d9 8d542404 lea edx,[esp+4]
805013dd 9c pushfd
805013de 6a08 push 8
下面是个驱动代码(cpp),加载后C:\StarsunYzL.txt文件将无法正常删除:
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
