草庐IT

c++ - 从其他程序隐藏文件

coder 2024-02-01 原文

我需要让一个文件不出现在另一个程序中。例如,当另一个程序获取文件夹中的文件列表时,我希望某个特定的文件不要出现。我正在注入(inject)一个 DLL,我的代码将从该 DLL 运行到我想在文件系统上隐藏 DLL 文件的进程。我正在使用 Microsoft Visual C++ 2010 和 Windows 7。

最佳答案

是的,正如您提到的,您需要拦截文件/文件夹枚举 API 并从枚举结果中过滤掉特定的文件/文件夹,以便“隐藏”该文件/文件夹。这可以在用户模式或内核模式下完成。

用户模式: 用户模式 Hook 涉及 DLL 注入(inject)。可以hook的地方有很多:

  • 可执行文件的IAT Hook :在目标进程的导入地址表中找到FindXxx条目,并用注入(inject)的DLL中存在的trampoline函数的地址覆盖它。
  • 对可执行文件加载的 DLL 进行 EAT Hook :在加载的 DLL(本例中为 kernel32.dll)的导出地址表中找出 FindXxx API 的条目,并用注入(inject)的 DLL 中存在的 trampoline 函数的地址覆盖它。
  • 内联 Hook :使用 JMP 将已加载 DLL 中 API 代码的前几条指令覆盖到您的 trampoline 函数中。

通常,用户模式往往会变得“丑陋”(难以管理),因为如果您想要一个系统范围的 Hook (或至少注入(inject) Explorer.exe 或您的目标应用程序),您需要将 DLL 注入(inject)到所有正在运行的进程中).许多应用程序,如安全软件,都有检测和拒绝 DLL 注入(inject)的保护机制。

实现用户模式 Hook 的一种更简洁的方法是 Hook NTDLL.dll 中的 API(使用 EAT 或内联 Hook )。所有其他 API(如 FindFirstFile/FindNextFile)最终调用由 NTDLL.dll 提供的等效 NtXxx API(如 NtQueryDirectoryFile)。 NtXxx API 是控制通过执行 INT 2E/SYSENTER 跳转到内核模式的点。

内核模式:这涉及编写驱动程序。同样,在内核模式下,您可以在很多地方安装 hook:

  • SSDT Hook :通过使用驱动程序中的 trampoline 函数地址覆盖相应的 SSDT 索引,为所需的 ZwXxx API(在本例中为 ZwQueryDirectoryFile)安装 SSDT Hook 。
  • 内核内联钩子(Hook):用 JMP 覆盖内核导出的 NT 内核 API 的前几条指令(在本例中为 NtQueryDirectoryFile)以指向驱动程序中的 trampoline 函数。
  • 文件系统过滤器驱动程序:这是一种更简洁的方法,不涉及 Hook 。安装文件系统过滤器驱动程序并拦截读/写/枚举 IOCTL 并过滤出结果以隐藏/锁定特定文件/文件夹。

内核模式钩子(Hook)往往更干净,因为它们通常安装在一个“集中的地方”。但是,您应该非常小心,因为驱动程序代码中的一个小错误/处理不当可能会导致 BSOD。

PS:有许多 Hook 库/框架可用于简化编写代码的工作。一些受欢迎的是:
http://www.madshi.net/madCodeHookDescription.htm
http://easyhook.codeplex.com/

PPS:在未经用户同意的情况下使用此类技术隐藏文件/文件夹可能是一个有问题的行为,并且可能会产生问题(还记得索尼 DRM 保护软件问题吗?;))。这就是 Rootkit 的作用!有许多使用上述技术隐藏文件/文件夹的用户模式和内核模式 rootkit。有多种反 Rootkit 软件可用于检测和恢复上述各种 Hook 。许多防病毒软件在检测到类似 Rootkit 的行为(如 API Hook 、隐藏文件、SSDT Hook 等)时会发出标记

资源少:
http://www.codeproject.com/KB/threads/APIHooking.aspx
http://www.codeproject.com/KB/DLL/funapihook.aspx
http://www.codeproject.com/KB/system/api_spying_hack.aspx
http://www.codeproject.com/KB/system/hide-driver.aspx
http://www.uc-forum.com/forum/c-and-c/59147-writing-drivers-perform-kernel-level-ssdt-hooking.html
http://www.security.org.sg/code/apihookcheck.html

关于c++ - 从其他程序隐藏文件,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4115819/

amp43Hookhttpbrc++filehide

有关c++ - 从其他程序隐藏文件的更多相关文章

  1. ruby - 使用 RubyZip 生成 ZIP 文件时设置压缩级别 - 2

    我有一个Ruby程序,它使用rubyzip压缩XML文件的目录树。gem。我的问题是文件开始变得很重,我想提高压缩级别,因为压缩时间不是问题。我在rubyzipdocumentation中找不到一种为创建的ZIP文件指定压缩级别的方法。有人知道如何更改此设置吗?是否有另一个允许指定压缩级别的Ruby库? 最佳答案 这是我通过查看ruby​​zip内部创建的代码。level=Zlib::BEST_COMPRESSIONZip::ZipOutputStream.open(zip_file)do|zip|Dir.glob("**/*")d

  2. ruby - 其他文件中的 Rake 任务 - 2

    我试图在一个项目中使用rake,如果我把所有东西都放到Rakefile中,它会很大并且很难读取/找到东西,所以我试着将每个命名空间放在lib/rake中它自己的文件中,我添加了这个到我的rake文件的顶部:Dir['#{File.dirname(__FILE__)}/lib/rake/*.rake'].map{|f|requiref}它加载文件没问题,但没有任务。我现在只有一个.rake文件作为测试,名为“servers.rake”,它看起来像这样:namespace:serverdotask:testdoputs"test"endend所以当我运行rakeserver:testid时

  3. ruby-on-rails - 在 Rails 中将文件大小字符串转换为等效千字节 - 2

    我的目标是转换表单输入,例如“100兆字节”或“1GB”,并将其转换为我可以存储在数据库中的文件大小(以千字节为单位)。目前,我有这个:defquota_convert@regex=/([0-9]+)(.*)s/@sizes=%w{kilobytemegabytegigabyte}m=self.quota.match(@regex)if@sizes.include?m[2]eval("self.quota=#{m[1]}.#{m[2]}")endend这有效,但前提是输入是倍数(“gigabytes”,而不是“gigabyte”)并且由于使用了eval看起来疯狂不安全。所以,功能正常,

  4. ruby - 在 Ruby 程序执行时阻止 Windows 7 PC 进入休眠状态 - 2

    我需要在客户计算机上运行Ruby应用程序。通常需要几天才能完成(复制大备份文件)。问题是如果启用sleep,它会中断应用程序。否则,计算机将持续运行数周,直到我下次访问为止。有什么方法可以防止执行期间休眠并让Windows在执行后休眠吗?欢迎任何疯狂的想法;-) 最佳答案 Here建议使用SetThreadExecutionStateWinAPI函数,使应用程序能够通知系统它正在使用中,从而防止系统在应用程序运行时进入休眠状态或关闭显示。像这样的东西:require'Win32API'ES_AWAYMODE_REQUIRED=0x0

  5. ruby-on-rails - Rails 3 中的多个路由文件 - 2

    Rails2.3可以选择随时使用RouteSet#add_configuration_file添加更多路由。是否可以在Rails3项目中做同样的事情? 最佳答案 在config/application.rb中:config.paths.config.routes在Rails3.2(也可能是Rails3.1)中,使用:config.paths["config/routes"] 关于ruby-on-rails-Rails3中的多个路由文件,我们在StackOverflow上找到一个类似的问题

  6. ruby - 将差异补丁应用于字符串/文件 - 2

    对于具有离线功能的智能手机应用程序,我正在为Xml文件创建单向文本同步。我希望我的服务器将增量/差异(例如GNU差异补丁)发送到目标设备。这是计划:Time=0Server:hasversion_1ofXmlfile(~800kiB)Client:hasversion_1ofXmlfile(~800kiB)Time=1Server:hasversion_1andversion_2ofXmlfile(each~800kiB)computesdeltaoftheseversions(=patch)(~10kiB)sendspatchtoClient(~10kiBtransferred)Cl

  7. ruby - 如何将脚本文件的末尾读取为数据文件(Perl 或任何其他语言) - 2

    我正在寻找执行以下操作的正确语法(在Perl、Shell或Ruby中):#variabletoaccessthedatalinesappendedasafileEND_OF_SCRIPT_MARKERrawdatastartshereanditcontinues. 最佳答案 Perl用__DATA__做这个:#!/usr/bin/perlusestrict;usewarnings;while(){print;}__DATA__Texttoprintgoeshere 关于ruby-如何将脚

  8. ruby - 如何指定 Rack 处理程序 - 2

    Rackup通过Rack的默认处理程序成功运行任何Rack应用程序。例如:classRackAppdefcall(environment)['200',{'Content-Type'=>'text/html'},["Helloworld"]]endendrunRackApp.new但是当最后一行更改为使用Rack的内置CGI处理程序时,rackup给出“NoMethodErrorat/undefinedmethod`call'fornil:NilClass”:Rack::Handler::CGI.runRackApp.newRack的其他内置处理程序也提出了同样的反对意见。例如Rack

  9. ruby - 使用 Vim Rails,您可以创建一个新的迁移文件并一次性打开它吗? - 2

    使用带有Rails插件的vim,您可以创建一个迁移文件,然后一次性打开该文件吗?textmate也可以这样吗? 最佳答案 你可以使用rails.vim然后做类似的事情::Rgeneratemigratonadd_foo_to_bar插件将打开迁移生成的文件,这正是您想要的。我不能代表textmate。 关于ruby-使用VimRails,您可以创建一个新的迁移文件并一次性打开它吗?,我们在StackOverflow上找到一个类似的问题: https://sta

  10. ruby - 在 Ruby 中编写命令行实用程序 - 2

    我想用ruby​​编写一个小的命令行实用程序并将其作为gem分发。我知道安装后,Guard、Sass和Thor等某些gem可以从命令行自行运行。为了让gem像二进制文件一样可用,我需要在我的gemspec中指定什么。 最佳答案 Gem::Specification.newdo|s|...s.executable='name_of_executable'...endhttp://docs.rubygems.org/read/chapter/20 关于ruby-在Ruby中编写命令行实用程序

随机推荐