软件逆向-火绒剑粉碎文件的分析
推荐 原创起因
上次我已经分析了火绒是如何杀死我们进程的,可是没想到哇,客户竟然还会使用文件粉碎机粉碎我们的文件,被逼无奈,我只能继续的分析一下火绒的粉碎文件的实现,我不得不说为什么它会很多的方式去粉碎文件,一个地方注意不到文件就会被删除。难受哇!
话不多说,我们现在看看火绒粉碎机是如何粉碎的文件。
分析过程
首先我们需要找一个很好的切入点去分析,还是从导入表入手,然后再gitHub上找一找别人是如何使用驱动删除文件。
我们就从这个github上看到的删除文件看一下火绒驱动的导入表,还是经典的下断环节。
winDBG开始下断点 
修正一下
这两天主要就是拦截火绒的DEVICEIOCONTROL发现0x220044和0x228004就可以了,并不需要处理第一个函数和第四个函数,我也拦截了一下,其中,第一个函数会无数次的调用,并不会访问到我们强行粉碎的文件。
最后
还是研究如何拦截火绒的IO,当粉碎我们的文件的时候,我们就返回失败。好了,让一切归于平静。
更多【火绒剑粉碎文件的分析】相关视频教程:www.yxfzedu.com
相关文章推荐
- 软件逆向-PE加载过程 FileBuffer-ImageBuffer - 游戏基址 二进制漏洞 密码应用 智能设备
- 加壳脱壳-进程 Dump & PE unpacking & IAT 修复 - Windows 篇 - 游戏基址 二进制漏洞 密码应用 智能设备
- CTF对抗-第五空间 crackme深度分析 - 游戏基址 二进制漏洞 密码应用 智能设备
- Pwn-DAS9月月赛PWN题出题心路 - 游戏基址 二进制漏洞 密码应用 智能设备
- CTF对抗-CSAW-CTF-Web部分题目 - 游戏基址 二进制漏洞 密码应用 智能设备
- CTF对抗-2022MT-CTF Re - 游戏基址 二进制漏洞 密码应用 智能设备
- 编程技术-逆向IoRegisterPlugPlayNotification获取即插即用回调地址,配图加注释超级详细 - 游戏基址 二进制漏洞 密码应用 智能设备
- 软件逆向-针对百度旗下的一个会议软件,简单研究其CEF框架 - 游戏基址 二进制漏洞 密码应用 智能设备
- Android安全-逆向篇三:解决Flutter应用不能点击问题 - 游戏基址 二进制漏洞 密码应用 智能设备
- Android安全-Android - 系统级源码调试 - 游戏基址 二进制漏洞 密码应用 智能设备
- Android安全-逆向分析某软件sign算法 - 游戏基址 二进制漏洞 密码应用 智能设备
- 软件逆向-APT 双尾蝎样本分析 - 游戏基址 二进制漏洞 密码应用 智能设备
- 编程技术-利用GET请求从微软符号服务器下载PDB - 游戏基址 二进制漏洞 密码应用 智能设备
- 编程技术-NtSocket的稳定实现,Client与Server的简单封装,以及SocketAsyncSelect的一种APC实现 - 游戏基址 二进制漏洞 密码应用 智能设备
- 软件逆向-wibu证书 - asn1码流 - 游戏基址 二进制漏洞 密码应用 智能设备
- 软件逆向-关于USB管控的方案,某某USB管控逆向分析 - 游戏基址 二进制漏洞 密码应用 智能设备
- 编程技术-谁会不喜欢一个Windows内核键盘记录器呢(详解) - 游戏基址 二进制漏洞 密码应用 智能设备
- 编程技术-QEMU/KVM虚拟机运行核心流程 - 游戏基址 二进制漏洞 密码应用 智能设备
- 编程技术-一点小技巧:利用Hook实现内存Dll(Dll数据重定向) - 游戏基址 二进制漏洞 密码应用 智能设备
- 软件逆向-wibu证书 - 初探 - 游戏基址 二进制漏洞 密码应用 智能设备
记录自己的技术轨迹
文章规则:
1):文章标题请尽量与文章内容相符
2):严禁色情、血腥、暴力
3):严禁发布任何形式的广告贴
4):严禁发表关于中国的政治类话题
5):严格遵守中国互联网法律法规
6):有侵权,疑问可发邮件至service@yxfzedu.com
近期原创 更多
