ZwSetInformationFile删除文件的FileInformationClass值

waltsin 2009-04-12 06:33:48
我想监视文件的删除操作,Hook了ZwSetInformationFile,却发现,使用Shift+Delete删除文件的时候FileInformationClass值是FileDispositionInformation,但是使用Delete删除的时候,得不到FileInformationClass的值。不知道是什么原因,是不是Delete删除文件的时候用这个函数监视不到啊?
还请前辈们不吝赐教,谢谢
...全文
337 3 打赏 收藏 转发到动态 举报
写回复
用AI写文章
3 条回复
切换为时间正序
请发表友善的回复…
发表回复
jnkandy 2009-04-15
  • 打赏
  • 举报
 回复
Delete删除文件的时候用这个函数监视的到,感觉你代码没问题,你再看看别的地方是不是别的地方的问题
删除到回收站时值是FileRenameInformation
waltsin 2009-04-13
  • 打赏
  • 举报
 回复
谢谢。
但是我却没有捕捉到这个移动操作,下面是我的部分代码:

NTSTATUS MyZwSetInformationFile(......)
{
switch(FileInformationClass)
{
case FileRenameInformation:
DbgPrint("FileRenameInformation\n");
break;
case FileBasicInformation:
DbgPrint("FileBasicInformation\n");
break;
case FileDispositionInformation:
DbgPrint("FileDispositionInformation\n");
break;
case FileEndOfFileInformation:
DbgPrint("FileEndOfFileInformation\n");
break;
case FileLinkInformation:
DbgPrint("FileLinkInformation\n");
break;
case FilePositionInformation:
DbgPrint("FilePositionInformation\n");
break;
case FileShortNameInformation:
DbgPrint("FileShortNameInformation\n");
break;
case FileValidDataLengthInformation:
DbgPrint("FileValidDataLengthInformation\n");
break;
default:
DbgPrint("Other parameter\n");
}
//然后解析出文件名,并打印出来
......
}

使用这段代码测试时,我将一个文件拖动到其他目录下,可以看到有FileRenameInformation的记录,但是使用Delete键删除文件的时候没有找到这条记录,还请前辈指点。
cnzdgs 2009-04-12
  • 打赏
  • 举报
 回复
删除到回收站是把文件移动到回收站目录里面,FileRenameInformation。
内核级驱动对抗Hook ZwSetInformationFile删除技术
网络安全中的文件删除与保护一直都是大家谈论的焦点问题,针对如何保护磁盘上属于自己的专有文件,已经存在一些现成技术,比如信息隐藏技术。笔者详细的谈论过有关基于有序规则的信息隐藏与加密技术,利用一些常见图片、视频等作为载体将文件嵌入其中,达到掩人耳目的目的。这种方式如果在图像的鲁棒性、文件规则的健壮性、加密算法的有效性上能够很好的满足,是可以很好的实现文件的保护的。下面论述的是文件在没有隐藏的情况下,
SSDT替换ZwSetInformationFile实现保护某文件不被删除
#include   typedef struct _SDT {   PULONG ServiceTableBase;   PULONG ServiceCounterTableBase;   ULONG NumberOfService;   PUCHAR ParamTableBase; }SDT, *PSDT;   typedef NTSTATUS (__stdcall
用HOOK来修改API函数的功能(3)-禁止删除文件
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://fxh7622.blog.51cto.com/63841/32290今天我写一写如何使用HOOK的方法来保护一些特定的文件不被删除。在"未文档化函数中"有个函数叫做ZwSetInformationFile。这个函数对应的WIN32的函数有"SetF
7、Windows驱动开发技术详解笔记(3) 基本语法回顾
3、文件读写 在ring3 我们可以使用CreateFile、ReadFile 、WriteFile 等API,在ring0 同样很相似,不过函数变成了ZwCreateFileZwReadFileZwWriteFile 等内核函数。 1)ZwCreateFile与ring3的CreateFile函数有所不同,它不能直接将需要打开或创建的文件路径传递过去,我们必须首先填...
hook pte_简单HOOK SSDT实现文件删除
被玩烂了的SSDT,索性就让它更烂吧,没啥技术含量,只是想增进下和驱动的感情,慢慢跟上那帮人的步伐。关于SSDT的描述,推荐看下堕落天才的文章:http://bbs.pediy.com/showthread.php?t=40832。OD跟踪DeleteFile API的执行流程,会大致看到这样的调用:DeleteFileA -> DeleteFileW -> ntdll.ZwSetIn...
驱动开发/核心开发

21,595

社区成员

21,708

社区内容

发帖
与我相关
我的任务
社区描述
硬件/嵌入开发 驱动开发/核心开发
社区管理员
  • 驱动开发/核心开发社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章