文件过滤驱动之文件隐藏

最新推荐文章于 2020-11-10 15:53:44 发布
原创 最新推荐文章于 2020-11-10 15:53:44 发布 · 1.5k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#驱动 #minifilter #文件过滤 #文件隐藏

本文介绍在Windows 10环境下,通过minispy迷你间谍驱动程序实现文件隐藏的方法,并演示如何利用白名单机制获取指定目录下的所有文件。包括测试环境设置、调用HideFile.exe进行文件隐藏、使用WinAPI遍历目录以及白名单Pid的添加与删除等功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

先看结果:

测试环境:win10 1803 64位系统
创建测试目录 C:\test 创建不同类型的文件
在这里插入图片描述
管理员权限启动cmd
sc start 启动 minifilter 驱动
调用HideFile.exe 传入指令,操作类型 目录 文件类型(文件类型可以传 * 则隐藏目录下所有文件)
在这里插入图片描述
右键刷新 test 目录
在这里插入图片描述
在这里插入图片描述
管理员权限调用WinAPI FindFirstFile FindNextFile 遍历 C:\test 目录下所有文件
在这里插入图片描述
在这里插入图片描述
将 获取路径下所有文件.exe 的 Pid 加入白名单后,即可获取到目录下的文件
在这里插入图片描述
过滤目录,过滤类型,白名单Pid 均可多次添加和删除
在这里插入图片描述

功能实现:

Windows驱动程序样本—minispy
修改模板 只保留 IRP_MJ_DIRECTORY_CONTROL 的操作后回调
在这里插入图片描述
ProcessId 与白名单的Pid进行比较,相等则不进行隐藏文件操作。

ULONG ProcessId = FltGetRequestorProcessId(Data);

取出文件信息 与 过滤路径 文件类型做比较

// 获取文件路径
status = FltGetFileNameInformation(Data,
        FLT_FILE_NAME_OPENED | FLT_FILE_NAME_QUERY_ALWAYS_ALLOW_CACHE_LOOKUP,
        &nameInfo);
FltParseFileNameInformation(nameInfo);// 解析FLT_FILE_NAME_INFORMATION结构的内容
status = FileMonGetFullPathName(nameInfo, fullPathLongName);

// 获取文件名
currentFileInfo = (PFILE_BOTH_DIR_INFORMATION)Data->Iopb->Parameters.DirectoryControl.QueryDirectory.DirectoryBuffer;
currentFileInfo->FileName, currentFileInfo->FileNameLength

文件我上传到优快云,感兴趣的可以下载下来玩玩
文件是debug64编译,驱动未签名,仅供虚拟机开启测试模式使用,测试前请保存快照
在这里插入图片描述

文件系统过滤驱动实现文件隐藏
03-18
在windows里,硬盘的每个分区被抽象为驱动程序中的设备对象。像C盘,D盘这些,在系统中都有一个对应的设备对象。C盘对应的设备对象是\Device\HarddiskVolume1文件系统过滤驱动,就是在文件系统驱动上生成自己的设备,然后去绑定这些设备,从而实现对发送给卷设备的IRP进行过滤,进而过滤各种文件操作。比如文件隐藏
驱动MiniFilter隐藏指定类型的文件.rar
09-10
驱动MiniFilter隐藏指定类型的文件.rar
文件过滤驱动-隐藏目标文件
kedebug
12-22 1345
代码是精简了sfilter中的代码,其实不如直接用寒江独钓里面的方法把sfilter编译成静态库 #include #include #include "ScDetectiveFilter.h" PDRIVER_OBJECT pdoGlobalDrvObj = NULL; PDEVICE_OBJECT pdoGlobalDeviceObject = NULL; LIST_ENTRY pdo
文件过滤驱动--隐藏目录
雁南飞
07-26 2584
//目录控制函数NTSTATUSSpyDirControl(    IN PDEVICE_OBJECT DeviceObject,    IN PIRP Irp    ){    PFILESPY_DEVICE_EXTENSION devExt;    PIO_STACK_LOCATION irpSp;    PFILE_OBJECT FileObject;    KEVENT waitEve
Win10文件过滤驱动使用教程与文件隐藏技巧
1. 文件过滤驱动文件过滤驱动(Filter Driver),是操作系统中用于监控文件系统请求的软件组件。它允许开发者拦截并处理特定文件系统操作,比如打开文件、读写文件等。在本例中,涉及的驱动是一个专门用于文件过滤...
文件过滤驱动DEMO:实现文件文件隐藏功能
文件过滤驱动是操作系统中用于监视和控制文件系统活动的软件组件。它能够在文件系统与应用程序之间提供一个额外的处理层,允许开发者执行特定的文件操作,如拦截、修改或者抑制文件操作请求。例如,可以用来隐藏文件...
文件系统过滤驱动在Windows中的文件隐藏实现
关于文件隐藏文件系统过滤驱动能够通过拦截IRP(I/O请求包)来实现。IRP是Windows内核中用于代表各种设备I/O请求的数据结构。当应用程序发起一个文件操作请求时,该请求会被转换成IRP发送到文件系统。过滤驱动通过...
贡献VB源码:实现文件过滤驱动隐藏技术
标题《过滤驱动隐藏文件的软件源码》所涉及的知识点主要围绕文件系统过滤驱动文件隐藏技术以及编程实现等方面。过滤驱动是一种特殊的系统驱动程序,它工作于文件系统层和驱动层之间,用于监控、拦截和处理文件系统...
驱动文件隐藏
qq_38807738的博客
06-25 2133
1、服务器使用文件查找hark.asp 未查找到文件。2、检测了第三方js未发现hark.asp。3、检查了CSS等,未发现跳转代码。4、使用阿D及安全狗,未发现shell,安全狗发现挂马,但是是误报的。驱动级的文件隐藏来实现黑帽SEO的,有如下特征:系统目录存在如下文件:c:\WINDOWS\xlkfs.datc:\WINDOWS\xlkfs.dllc:\WINDOWS\xlkfs.inic:\...
驱动文件隐藏技术
03-25
驱动文件隐藏技术 让你的文件资源深藏电脑之中
驱动隐藏文件
06-08
驱动隐藏文件,源文件只有一个,其他为编译所需要的辅助文件,miniHide.c,makefile,minihide.dsp,source等
隐藏驱动程序
02-08
这是一款全自动的网络磁盘代理工具,可以在2秒内为用户创建一个独立的隐藏磁盘,且磁盘容量同步D盘,简单的操作就可以解决用户磁盘空间不足的问题,或者私密文件放置问题,就连腾讯电脑管家和360都查不到该磁盘!
HideDriver_hidedriver_TP_驱动隐藏_驱动断链隐藏_隐藏驱动
09-11
驱动隐藏 断链隐藏驱动驱动注册回调,可过TP双击调试
驱动隐藏工具
03-23
驱动隐藏工具,杀毒软件都可以欺骗过去,隐藏任何一个东西都可以
微过滤(minifilter)驱动实现文件隐藏增强版
fangshy的专栏
11-10 1497
微过滤驱动主要用于安全隔离盒累产品,通过收集资料,和各位高手的文章,具有参考意义的的文章主要输入下 看雪论套:https://bbs.pediy.com/thread-226174.htm 是一篇很有质量的文章,基本逻辑已经实现,入门级的如何新建工程,编译,签名与安装,可以参考其他教程,这里只把实践重遇到的问题进行总结与给出解决方案。现在先总结问题: 问题1:设置为保护,仍然可以删除文件和目录; 问题2、保护状态仍然可以通过鼠标右键新建文件夹与其他文件,只是内容为空,0字节大小; 问题3、发现目录
驱动隐藏
10-16 1520
 使用可怕的reloadandrun技术后,驱动基本上已经没有DriverObject这种可以枚举的东西,但是还有PEHeader和MZHeader,DosHeader 这三个东西,其实只要在reload后的DriverEntry中抹掉,添0或者添随机数是你的问题啦啦,另外还有一个特征点就是驱动内部的.pdb字符,这个也是可以XX掉的,此时内存中你已经没有任何特征可言了~~吼吼~~最后
过滤sd卡中隐藏文件
zhouguizhi
09-27 1396
我们在使用系统或者第三方文件浏览器ruan
驱动实现RootKit文件隐藏
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-30 2218
以下代码已经经过测试可以正确编译运行。效果也正常实现,可以作为学习驱动的一个示例代码。 #include "ntddk.h" #include #pragma pack(1) //SSDT Table typedef struct ServiceDescriptorEntry {         unsigned int *ServiceTableBase;
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值