文件防删除保护(miniifiter)
摘要:
0x01 思路(原理) 驱动层文件保护的思路是通过minifilter过滤文件删除相关的IRP,并将目标文件与被保护文件相比较,命中保护规则的话返回STATUS_ACCESS_DENIED拒绝访问;也可以进一步利用回调函数获取的FLT_CALLBACK_DATA结构体解析文件删除操作对应的发起者进程 阅读全文
posted @ 2019-02-20 10:20 沉疴 阅读(3221) 评论(0) 推荐(0) 编辑