S.l.e!ep.￠%

?? 近1年來互連網(wǎng)上的木馬越來越多，有的還刪除不掉，要切換到dos才可行，如：CNNC，3721等，實現(xiàn)技術也五花八門，但就文件不可刪除的實現(xiàn)技術可分三類：

?? 1 Attach file system; 這種技術和Filemon/sfilter查不多，就是掛一個filter驅動到fs上，其他函數(shù)都是passthru下去，只處理IRP_MJ_SET_INFORMATION，當發(fā)現(xiàn)有刪除需保護文件的IRP，就
Irp->IoStatus.Status = STATUS_SUCCESS;????????????
Irp->IoStatus.Information = 0;????????????
IoCompleteRequest(Irp, IO_NO_INCREMENT);
更本不讓Fs去處理，從而達到文件不可刪除的作用！

有什么方法可以刪除呢？自己寫個驅動自己填充irp包（見OSR文檔Rolling Your Own），直接發(fā)送IRP到File System Device上去就ok啦！


?? 2 修改file system的dispatch函數(shù)表; 首先得到Fs的DriverObject(根據(jù)驅動名得到驅動設備對象(ObReferenceObjectByName(IoDriverObjectType)))，pDriverObject->MajorFunction[IRP_MJ_SET_INFORMATION] = MySetInformation，然后再MySetInformation中再調用原來的調度函數(shù)，類似于HookApi;發(fā)現(xiàn)有刪除
需保護文件的IRP，就直接IoCompleteRequest，更本不讓原來的FsSetInformation處理！

有什么方法可以刪除呢？自己寫個驅動來修復Fs的dispatch函數(shù)表，讀Fs的原始文件，根據(jù)PE文件得到Fs的Entrypoint，dispatch函數(shù)表的填充都在EntryPoint后面,我們可以根據(jù)Opcode查找,XX XX XX XX就是我們要找的dispatch的原始地址；找到后pDriverObject->MajorFunction[IRP_MJ_SET_INFORMATION] = XX XX XX XX，然后就能刪除文件啦！

FunOpc=MajorFunction*4+0x38
C7 46 FunOpc[<80]?? XX XX XX XX?? mov????? dword ptr [esi+50h], offset _NtfsFsdSetInformation
C7 86 FunOpc[>=80] XX XX XX XX
C7 43 FunOpc[<80]?? XX XX XX XX?? mov????? dword ptr [ebx+50h], offset _NtfsFsdSetInformation
C7 83 FunOpc[>=80] XX XX XX XX


?? 3 通過ZwCreateFile把文件鎖定；刪除時報告“文件正在使用，禁止刪除”，具體原理自己摸索吧，反正是通過ZwCreateFile實現(xiàn)的！

有什么方法可以刪除呢？
?? step1 :通過QuerySystemInformation(SystemHandleInformation)得到當前系統(tǒng)的所有句柄信息
?? step2 :遍歷當前所有進程，根據(jù)進程ID，得到此進程打開的所有句柄信息
?? Step3 :把句柄發(fā)送給我們的驅動程序，驅動程序根據(jù)ObQueryNameString得到句柄的路徑信息,然后再傳給我們的應用程序
Step4 :如果是我們要刪除文件的路徑，應用程序調用DuplicateHandle(DUPLICATE_CLOSE_SOURCE),句柄被關閉了，現(xiàn)在可以刪除文件了！
?? 注：QuerySystemInformation的使用說明見The Undocumented Functions，或者http://undocumented.ntinternals.net，第三種解除文件鎖定的方法是我反匯編Unlock軟件學習到的