杀毒软件实时杀毒的奥秘(vxd文件监控)

CODE:



//================================================

// 

//By Lu Lin 2000.5.10 

// Apply with VtoolsD 3.01 

// DDK version is available if requested. 

//Abstract: 

// Install a IFS hook, monitoring any read and write access 

// 

//================================================

// IFSHOOK.c - main module for IFSHOOK 



#define　 DEVICE_MAIN 

#include　"ifshook.h" 

#undef　　DEVICE_MAIN　 



//typedef EventHdl(pevent pev,pioreq pir); 



typedef struct _Monitored_Files{ 

struct _Monitored_Files *pNext_Monitored_Files;//pointer to next struct 

struct _Monitored_Files *pPre_Monitored_Files;//pointer to previous struct 

int sfn;//system file number 

int open_count; 

char path[260]; //ansi path name 

}_Monitored_Files,*pMonitored_Files; 



// 

//Declare virtual device 

// 

Declare_Virtual_Device(IFSHOOK) 



_Monitored_Files Monitored_Files; 

ppIFSFileHookFunc PrevHook; 



DefineControlHandler(SYS_VM_INIT, OnSysVMInit); 

DefineControlHandler(SYS_DYNAMIC_DEVICE_INIT, OnSysDynamicDeviceInit); 

DefineControlHandler(SYS_DYNAMIC_DEVICE_EXIT, OnSysDynamicDeviceExit); 

DefineControlHandler(SYS_VM_TERMINATE, OnSysVMTerminate); 



PCHAR ConvertPath( int drive, path_t ppath, PCHAR fullpathname ) 

{ 

　　int　i = 0; 

　　_QWORD　result; 



　　// 

　　// Stick on the drive letter if we know it. 

　　// 

　　if( drive != 0xFF ) { 



　　　　fullpathname[0] = drive "A"-1; 

　　　　fullpathname[1] = ":"; 

　　　　i = 2; 

　　} 

　　UniToBCSPath( &fullpathname, ppath->pp_elements, 260 , BCS_WANSI, &result ); 

　　return( fullpathname ); 

} 



pMonitored_Files IsFileOpened(int i){ 

pMonitored_Files p=&Monitored_Files; 



while (p){ 

　if (i==p->sfn){ 

　 return p; 

　} 

　p=p->pNext_Monitored_Files; 

} 

return 0; 

} 



BOOL ControlDispatcher( 

DWORD dwControlMessage, 

DWORD EBX, 

DWORD EDX, 

DWORD ESI, 

DWORD EDI, 

DWORD ECX) 

{ 

START_CONTROL_DISPATCH 



　ON_SYS_VM_INIT(OnSysVMInit); 

　ON_SYS_DYNAMIC_DEVICE_INIT(OnSysDynamicDeviceInit); 

　ON_SYS_DYNAMIC_DEVICE_EXIT(OnSysDynamicDeviceExit); 



END_CONTROL_DISPATCH 



return TRUE; 

} 



int _cdecl MyIfsHook(pIFSFunc pfn, int fn, int Drive, int ResType, 

　int CodePage, pioreq pir) 

{ 

int retvar,i; 

char fullpathname[260]; 

_Monitored_Files *FileEntry; 

switch(fn){ 

　case IFSFN_OPEN:{ 

　 retvar=(*PrevHook)(pfn, fn, Drive, ResType, CodePage, pir); 

　 ConvertPath( Drive, pir->ir_ppath, fullpathname ); 

　 FileEntry=IsFileOpened(pir->ir_sfn); 

　 if (FileEntry){ 

　　FileEntry->open_count  ; 

　 }else{ 

　　FileEntry=&Monitored_Files; 

　　while(1){ 

　　 if (FileEntry->pNext_Monitored_Files){ 

　　　FileEntry=FileEntry->pNext_Monitored_Files; 

　　 } 

　　 else{ 

　　　break; 

　　 } 

　　} 

　　FileEntry->pNext_Mon_itored_Files= 

　　 HeapAllocate( sizeof(_Monitored_Files),HEAPZEROINIT); 

　　FileEntry->pNext_Monitored_Files->pPre_Mon_itored_Files=FileEntry; 

　　FileEntry=FileEntry->pNext_Monitored_Files; 

　　FileEntry->sfn=pir->ir_sfn; 

　　FileEntry->open_count=1; 

　　memcpy(FileEntry->path,fullpathname,260); 

　 } 

　 return retvar; 

　} 



　case IFSFN_READ:{ 

　 //Do something here, 

　 //eg. Decrypt the file. 

　 char *str; 

　 int j; 

　 str=pir->ir_data; 

　 j=pir->ir_length; 

　 retvar=(*PrevHook)(pfn, fn, Drive, ResType, CodePage, pir); 

　 FileEntry=IsFileOpened(pir->ir_sfn); 

　 if (!stricmp("c:\test.txt",FileEntry->path)){ 

　　for (i=0;i<j;i  ){ 

　　 str--; 

　　} 

　 } 

　 return retvar; 

　} 



　case IFSFN_WRITE:{ 

　 //Do something here 

　 //eg. Encrypt the file 

　 FileEntry=IsFileOpened(pir->ir_sfn); 

　 if (FileEntry){ 

　　if (!stricmp("c:\test.txt",FileEntry->path)){ 

　　 for (i=0;i<pir->ir_length;i  ){ 

　　　(((char*)pir->ir_data))  ; 

　　 } 

　　} 

　 } 

　 return (*PrevHook)(pfn, fn, Drive, ResType, CodePage, pir); 

　} 



　case IFSFN_CLOSE:{ 

　 FileEntry=IsFileOpened(pir->ir_sfn); 

　 if (FileEntry){　 

　　FileEntry->open_count--; 

　　if (!FileEntry->open_count){ 

　　 FileEntry->pPre_Monitored_Files->pNext_Mon_itored_Files= 

　　 FileEntry->pNext_Monitored_Files; 

　　 FileEntry->pNext_Monitored_Files->pPre_Mon_itored_Files= 

　　　FileEntry->pPre_Monitored_Files; 

　　 HeapFree(FileEntry,0); 

　　 } 

　 } 

　 return (*PrevHook)(pfn, fn, Drive, ResType, CodePage, pir); 

　} 



}　 



return (*PrevHook)(pfn, fn, Drive, ResType, CodePage, pir); 

} 



BOOL OnSysVMInit(VMHANDLE hVM){ 

return OnSysDynamicDeviceInit(); 

} 



BOOL OnSysDynamicDeviceInit() 

{ 

PrevHook = IFSMgr_InstallFileSystemApiHook(MyIfsHook); 

Monitored_Files.pNext_Mon_itored_Files=0; 

Monitored_Files.pPre_Mon_itored_Files=0; 

Monitored_Files.sfn=-1; 

Monitored_Files.open_count=0; 

Monitored_Files.path[0]=0; 



return TRUE; 

} 



BOOL OnSysDynamicDeviceExit() 

{ 

IFSMgr_RemoveFileSystemApiHook(MyIfsHook); 

return TRUE; 

} 



void OnSysVMTerminate(VMHANDLE hVM){ 

return OnSysDynamicDeviceExit(); 

}

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有

热门词条

最新资讯

• Photoshop绘制立体风格的微笑表情
• PS文字特效教程：制作公路上个性的涂鸦
• Photoshop设计卷边效果的变形金刚电影
• PS色彩修复教程：利用色阶工具快速给红
• PS半透明物体抠图：利用通道选区工具抠
• PS海报设计技巧教程：学习制作个性的扭
• PS图片特效制作教程：学习给铁塔图片制
• 学习用photoshop把浑浊的海水照片后期
• PS古风照片教程：给古风美女打造出女侠
• PS个性人物海报制作：设计创意时尚的玻

热门关注

• 看上去很美 黄色网站背后隐藏的安全危
• 震惊 不用黑客软件盗QQ的简单方法
• 利用网站解析在线视频下载地址
• 五招教你“调教”网上邻居
• 多家厂商test-cgi脚本目录远程遍历漏洞
• 黄毒蔓延 害人不浅！上网防黄有技巧
• Microsoft Windows MSRPC SVCCTL服务枚
• Microsoft Windows远程桌面协议服务程
• IBM HTTP Server 根目录访问漏洞
• Trojan.QQ3344.af.enc

热门标签