1. Delphi K.Top 討論區
  2. Win32 API 使用討論區(Delphi)
  3. 如何试用Hook ZwQueryDirectoryFile的方法隐藏文件?
線上訂房服務-台灣趴趴狗聯合訂房中心
發文 回覆 瀏覽次數:1929
推到 Plurk!
推到 Facebook!

如何试用Hook ZwQueryDirectoryFile的方法隐藏文件?
尚未結案
Vicen
高階會員


發表:13
回覆:145
積分:151
註冊:2005-03-14

發送簡訊給我
#1 引用回覆 回覆 發表時間:2005-08-30 17:55:09 IP:221.226.xxx.xxx 未訂閱
这是参考一位大大的BCB范例改的,能够HOOK成功,但过滤部分不知道如何写?请各位大大帮忙。    Help Me!    
function NewZwQueryDirectoryFile(FileHandle: THANDLE;
                                 Event: THANDLE;
                                 ApcRoutine: PIO_APC_ROUTINE;
                                 ApcContext: PVOID;
                                 IoStatusBlock: PIO_STATUS_BLOCK;
                                 FileInformation: PVOID;
                                 FileInformationLength: ULONG;
                                 FileInformationClass: DWORD;
                                 ReturnSingleEntry: Bool;
                                 FileName: PUnicodeString;
                                 RestartScan: Bool): NTStatus; stdcall;
 function PWideToString(  pw : PWideChar  ) : string;
 var
    p : PChar;
    iLen : integer;
 begin
       {Get memory for the string}
    iLen := lstrlenw(  pw  )   1;
    GetMem(  p,  iLen  );           {Convert a unicode (PWideChar) to a string}
    WideCharToMultiByte(  CP_ACP,  0,  pw,  iLen,  p,  iLen * 2,  nil,  nil  );        Result := p;
    FreeMem(  p,  iLen  );
 end;    Var
  rc : NTStatus;
  CR0VALUE : ULONG;
  ansiFileName,ansiDirName,HideDirFile : PAnsiString;
  uniFileName : PUnicodeString;
  pFileInfo : PFILE_BOTH_DIR_INFORMATION;
  bLastOne : BOOL;
  iPos, iLeft : Integer;
  sPWS : PWideChar;
begin
  //RtlInitAnsiString(HideDirFile, 'HIDEPROCESS.EXE');      rc := TrueZwQueryDirectoryFile(FileHandle,
                                 Event,
                                 ApcRoutine,
                                 ApcContext,
                                 IoStatusBlock,
                                 FileInformation,
                                 FileInformationLength,
                                 FileInformationClass,
                                 ReturnSingleEntry,
                                 FileName,
                                 RestartScan);
                                 
  if (rc = STATUS_SUCCESS) And (FileInformationClass=FileBothDirectoryInformation) then
  begin
    pFileInfo := PFILE_BOTH_DIR_INFORMATION(FileInformation);        While pFileInfo.NextEntryOffset<>0 Do
    begin
      RtlInitUnicodeString(uniFileName,pFileInfo.FileName);
      RtlUnicodeStringToAnsiString(ansiFileName,uniFileName,TRUE);
      RtlUnicodeStringToAnsiString(ansiDirName,ansiDirName,TRUE);
      RtlUpperString(ansiFileName,ansiDirName);
      //ansiFileName.Buffer -> 这里根本没取到文件名字
        //过滤........
      //...........
      pFileInfo := PFILE_BOTH_DIR_INFORMATION(PChar(pFileInfo)   pFileInfo.NextEntryOffset);
    end;
  end;      RtlFreeAnsiString(ansiDirName);
  RtlFreeAnsiString(ansiFileName);      Result := rc;
end;
系統時間:2024-05-05 20:52:33
聯絡我們 | Delphi K.Top討論版
本站聲明
1. 本論壇為無營利行為之開放平台,所有文章都是由網友自行張貼,如牽涉到法律糾紛一切與本站無關。
2. 假如網友發表之內容涉及侵權,而損及您的利益,請立即通知版主刪除。
3. 請勿批評中華民國元首及政府或批評各政黨,是藍是綠本站無權干涉,但這裡不是政治性論壇!
5151線上健康照護網 | 台灣西醫網 | 台灣中醫網 | 台灣牙科網 | 台灣照護網 | 趴趴狗旅遊網
大花蓮旅遊網 | 大花蓮民宿網 | 花蓮旅遊網 | 花蓮旅遊 | 花蓮旅遊 | 花蓮住宿
花蓮民宿網 | 花蓮旅遊 | 花蓮住宿 | 花蓮民宿 | 花蓮旅遊 | 花蓮民宿
花蓮住宿 | 大南投旅遊網 | 大南投民宿網 | 日月潭風景區 | 日月潭旅遊網 | 日月潭民宿網
日月潭住宿網 | 宜蘭旅遊網 | 宜蘭民宿網 | 宜蘭住宿網 | 宜蘭旅遊網 | 宜蘭民宿網
宜蘭住宿網 | 宜蘭旅遊網 | 宜蘭民宿網 | 宜蘭住宿網 | 台東旅遊網 | 台東民宿網
台東住宿網 | 台東旅遊網 | 台東民宿網 | 台東住宿網 | 台東旅遊 | 台東民宿
台東住宿 | 綠島旅遊網 | 綠島民宿網 | 綠島住宿網 | 綠島旅遊網 | 綠島民宿網
綠島住宿網 | 綠島旅遊網 | 綠島民宿網 | 綠島住宿網 | 集集旅遊網 | 集集民宿網
集集住宿網 | 關子嶺旅遊網 | 關子嶺民宿網 | 白河旅遊網 | 白河民宿網 | 心脈大師
尊榮牙醫診所 |