搜索资源列表
在NT系列操作系统里让自己“消失”
- 这篇文档是在Windows NT操作系统下隐藏对象、文件、服务、进程等的技术。这种方法是基于Windows API函数的挂钩。 这篇文章中所描述的技术都是从我写rootkit的研究成果,所以它能写rootkit更有效果并且更简单。这里也同样包括了我的实践。 在这篇文档中隐藏对象意味着改变某些用来命名这些对象的系统函数,使它们将忽略这些对象的名字。这样一来我们改动的那些函数的返回值表示这些对象根本就不存在。 最基本的方法(除去少数不同的)是我们用原始的参数调用原始的函数,然后我们改变它们的输出。
枚举打开文件句柄
- 遍历进程枚举打开的文件句柄,可以说是文件删除利器。有多种删除方式R3 R0层
ForceDel
- 强制删除文件,无注入无驱动无hook,原理就是查找文件的锁定句柄,然后关闭句柄。-Force delete a file, no injection of non-driven non-hook, locking principle is to find the file handle, and then close the handle.
UDiskDemo
- 文件及文件夹说明 =============================================================================================== \arm\ uC/OS-II移植代码 \SOURCE\ uC/OS-II源码保存在该文件夹 \HostMassLib\ HostMassLib驱动库相关文件存放的文件夹 \HostMassLib\读写U盘模块驱动使用手册.pdf 驱动库使用手
FormatIO
- 强制删除文件,无注入无驱动无hook,原理就是查找文件的锁定句柄,然后关闭句柄。-Forced to delete the file, no injection no driver no hook, the principle is to find the file lock handle, and then close the handle.