直接调用NTFS文件驱动检测隐藏文件

导出

摘要如果不考虑直接读取扇区分析文件系统来检测隐藏文件的话，那么直接向建立在卷设备驱动上的文件系统驱动发送IRP是在文件系统上最底层的检测方法了。lceSword（不考虑FileReg这个插件）就是直接向最底层的文件驱动发送IRP来检测隐藏文件的，这种检测方法使我们能够检测出SSDTHOOK、文件过滤驱动所隐藏的文件。在上期的文章中，

作者 pixiebox

出处《黑客防线》 2008年第9期71-75,共5页

关键词隐藏文件设备驱动 NTFS文件检测调用文件系统直接读取过滤驱动

分类号 TP316.7 [自动化与计算机技术—计算机软件与理论] TP316 [自动化与计算机技术—计算机科学与技术]

引文网络
相关文献

1余晓东.基于驱动层的数据安全存储系统设计[J].计算机安全,2010(9):49-50.
2夏良.基于映像文件的虚拟磁盘存储技术研究[J].硅谷,2011,4(4):67-67. 被引量：3
3陈建熊,揭摄,张鑫.基于文件过滤驱动的病毒防范方法的实现[J].计算机技术与发展,2013,23(3):143-146. 被引量：1
4韩德志,钟铭.Windows NT文件系统驱动程序原理及设计方法[J].微机发展,2001,11(4):63-66. 被引量：1
5陈伟东,刘刚,徐峥,耿坤英.一种Web服务器安全机制的实现方法[J].微型机与应用,2012,31(2):12-15.
6余庆祥,郑浩然.防止电子文档泄露的策略与机制[J].计算机应用与软件,2009,26(1):270-272. 被引量：2
7吴铃,侯进,徐芳.BVH文件驱动三维人体动画的实现[J].沈阳理工大学学报,2012,31(1):52-56. 被引量：10
8陈伟东,王超,张力,徐峥,邢希双.服务器系统安全内核研究与实现[J].计算机应用与软件,2013,30(3):304-307. 被引量：6
9罗丛敏.用 True BASIC 读取 foxBASE 的文件驱动 Auto CAD 产生图形的方法[J].广西机械,1997(3):28-29.
10王宏斌,段玲,孙文君,贺俊旺.基于MFC串口事件驱动检测遥测数据包的设计与实现[J].工业控制计算机,2015,28(8):15-16.

黑客防线

2008年第9期

浏览历史

内容加载中请稍等...

直接调用NTFS文件驱动检测隐藏文件

相关作者

相关机构

相关主题

浏览历史