PDA

View Full Version : مخفی کردن فایل با هوک کردن توابع findfirstfile , findnextfile


fahimeh1512
پنج شنبه 19 دی 1392, 10:31 صبح
باسلام
همونطور که میدونید ویندوز اکسپلورر از تابع findfirst/nextfilew استفاده میکنه میخوام بدونم هربار که ما یه پوشه رو بازمیکنیم محتویات اون پوشه دقیقا با همین توابع لیست میشن؟
من میخوام یه فایل رو مخفی کنم میخوام ببینم اگه این توابع رو هوک کنم اون فایل مخفی میشه دیگه درسته؟
یه تابع هوک واسش نوشتم که همینجوری یه مسیر و بهش میدیم وقتی میخواد محتویات اون مسیر و نشون بده فایل مورد نظرمو چاپ نمیکنه (یعنی مخفیش میکنه) ولی همین تابع هوک رو توی ویندوز اکسپلورر اینجکت میکنم کارنمیکنه یعنی اون فایلو مخفی نمیکنه چرا؟؟
کامبیز اسدزاده
شنبه 21 دی 1392, 10:28 صبح
من که 7...8 بار خودندم متوجه چیزی نشدم ! سوالت خیلی گنگ هست :لبخند:
fahimeh1512
شنبه 21 دی 1392, 10:36 صبح
واقعا؟؟ خب میخوام این تابع رو هوک کنم که وقتی داره فایل های توی یه دایرکتوری رو نشون میده یه فایل اگزه رو که مدنظرم هست نشون نده
همین تابع رو توی ویژوال استودیو هوک میکنم بعد که فراخوانیش میکنم اون اگزه رو مخفی میکنه یعنی هوکم درست کارمیکنه ولی همین هوک رو توی ویندوز اکسپلورر اینجکت میکنم فایلی رو که میخوام مخفی نمیکنه
اگه نیازه خود فایل هوکو اینجا بذارم
کامبیز اسدزاده
شنبه 21 دی 1392, 10:42 صبح
خب در این صورت دستورات شما درسته ولی اینکه چرا مخفی نمیکنه :متفکر:
در رابطه ویندوز اکسپلور شاید یجورایی هم خونی نمیکنه مثلا شما مخفی میکنی ولی از اونطرف گزینه show all file تو ویندوز فعاله و باعث میشه مخفی نشون نده اینارو بررسی کردین ؟
fahimeh1512
شنبه 21 دی 1392, 10:47 صبح
اخه بقیه تنظیمات که نباید تغییر کنن ظاهر کار باید جوری باشه که همه چیز عادی به نظر برسه واسه همین میخوام هوکش کنم دیگه وگرنه میتونستم توابع دیگه ای رو کال کنم که اون گزینه ها رو دستکاری کنه
راستی اینی که گفتین از همون قسمت tools-> folderoptions ؟؟
کامبیز اسدزاده
شنبه 21 دی 1392, 10:52 صبح
اخه بقیه تنظیمات که نباید تغییر کنن ظاهر کار باید جوری باشه که همه چیز عادی به نظر برسه واسه همین میخوام هوکش کنم دیگه وگرنه میتونستم توابع دیگه ای رو کال کنم که اون گزینه ها رو دستکاری کنه
راستی اینی که گفتین از همون قسمت tools-> folderoptions ؟؟

بله منظورم همونه در اون قسمت همه چیز رو در حالت پیشفرض قرار بدین بعد بررسی کنید من احتمال میدم از یه طرف خود ویندوز کار مخفی سازی و آشکار سازی رو انجام میده از یه طرفم برنامه شما در این صورت اولویت با ویندوز هست شما نمیتونی اینجوری وقتی ویندوز دستور میده فایل ها نمایش داده بشن شما بگی مخفی بشن ! چون این صفت رو ویندوز به همه قسمت ها اعمال میکنه :متفکر:
fahimeh1512
شنبه 21 دی 1392, 11:48 صبح
با حالت پیش فرضم امتحان کردم نشد :ناراحت:
کامبیز اسدزاده
شنبه 21 دی 1392, 12:00 عصر
با حالت پیش فرضم امتحان کردم نشد :ناراحت:

که اینطور... چیزی به ذهنم نمیرسه متاسفانه از اساتید دیگه کسی اگه میتونه یه بررسی کنه از ما با تجربه هاشم هست نگران نباشید. :ی
UfnCod3r
شنبه 21 دی 1392, 16:06 عصر
گویا WinExplorer از توابع ذکر شده استفاده نمی کند. لذا هوکوندن انها بی فایده بوده و می بایست فکری دیگر کرد. باشد که درست فکر کرده باشم.:متفکر:
fahimeh1512
شنبه 21 دی 1392, 18:02 عصر
خب پس از چه تابعی استفاده میکنه؟؟ یه برنامه هست به اسم pe insider با اون که ویندوز اکسپلورر رو بررسی کردم findfirst/nextfilew رو تو دی ال ال هاش داشت
ولی توابع دیگه ای که مثلا باهاشون بشه فایل ها رو لیست کرد (مثل ntquerydirectoryfile) توش نبود ایا توابع دیگه ای هست که مشابه این دو تابع عمل کنه؟؟؟:متفکر:
Masoudxb
شنبه 21 دی 1392, 23:56 عصر
با هوک اون توابع به نتیجه ای نمیرسی چون از اونا استفاده نمیکنه. با استفاده از اینترفیس IShellFolder اینکار رو انجام میده.
IShellFolder :: EnumObjects راجع بهش سرچ کنی اطلاعات مورد نیازت رو پیدا میکنی.
بهروز عباسی
یک شنبه 22 دی 1392, 02:07 صبح
عنوان تاپیک اصلاً مناسب نیست ! لطفاً عناوین مناسب؛ مثلا دراین مورد: "مخفی کردن فایل با هوک کردن توابع ..." استفاده کنید.

شما باید تابع ZwQueryDirectoryFile رو هوک کنی.
ظاهراً دنبال روش هایی برای ساخت R00tkit هستی ؟


the kernel rootkit could hook NtQueryDirectoryFile to hide files and directories on the local file system.بیشتر بداندیش توی این لینک
Windows rootkits of 2005, part one (http://www.symantec.com/connect/articles/windows-rootkits-2005-part-one)

شب خوش.