скрытие файлов HELP

Вопрос такой, надо скрыть файл(директорию). Вопрос с перехватом NtQueryDirectoryFile не поднимать, скрытие не полное и по сети расшареные файлы видно и тд. Слышал что есть вариант с IoCallDriver может кто знает как осуществляется скрытие, его идеи?Или может предложить метод который обеспечивает более надежное скрытие.

 

Local File System Filter Driver
Network Redirector Filter Driver

Документация есть в WDK.

 

Что то не могу найти. это я так понимаю драйвер фильтры, не хочетсяс ними связываться. Боюсь не осилю

 

Если все-таки будешь разбираться с этим , почитай 12 главу Руссиновича , там есть информации о том что тебе дали выше.

 

кто то может предложить еще какие то варианты?

 

Минифильтр.

 

кроме фильтров ничего не бывает?

 

Хуки

 

Фтопку.

 

Фтопку. Низкоуровневая работа с диском обнаружит файл.

Там смысл в том, что указатели на соответствующие процедуры находятся в переменных:

Код (Text):

1. ; pIofCallDriver - This is a pointer to the function to call a driver.
2. ;
3.  
4.         align   PADLOCKS
5.  
6.         public  _pIofCallDriver
7. _pIofCallDriver dd      0
8.  
9. ;
10. ; pIofCompleteRequest - This is a pointer to the function to call to complete
11. ;      an I/O request.
12. ;
13.  
14.         public  _pIofCompleteRequest
15. _pIofCompleteRequest dd 0
16.  
17. ;
18. ; pIoAllocateIrp - This is pointer to the function to call to allocate an IRP.
19. ;
20.  
21.         public  _pIoAllocateIrp
22. _pIoAllocateIrp dd      0
23.  
24. ;
25. ; pIoFreeIrp - This is a pointer to a function to call to free an IRP.
26. ;
27.  
28.         public  _pIoFreeIrp
29. _pIoFreeIrp     dd      0

Лучшее сокрытие файла - его отсутствие на диске.

 

С точки зрения технологий да, ваш спор и вопросы тут интересны. Но если вы хотите лучшего результата, нужно смотреть есче и с точки зрения психологии. От 99% пользователей вообще не нужно ничего прятать потому что они не знают что у них на C: диске хранится (я не шучу). Польза будет такова что не налетите на антивирусы и т.д. да и работы меньше, стабильнее. Ну а если задумали всунуть что либо профессионалу, все равно рано или поздно пролетите где нибудь. Вот я думаю что на мой PC можете трудится хотя бы год, но не всунете ничего (как и многим из вас я думаю). Так нужно задуматься кого хотите обмануть? Менеджера которому интересно что либо продать и совсем по фиг что у него на PC или IT профессионала, которого скорей всего все равно не обманите.

Я тут нехочю критиковать ни одного ответа, все они имеют смысл с точки зрения IT. Все тут отлично. Просто предлагаю альтернативный взгляд Удачи.

 

Конечно! А с кем ты борешься? С профи бороться бесполезно, а на хоумюзера и хуков режима пользователя достаточно будет. Всё это не имеет смысла, вон, Nerka всё правильно расписал...

 

.

 

Nerka
>Ну а если задумали всунуть что либо профессионалу, все равно рано или поздно пролетите где нибудь.
Ключевая фраза "рано или поздно", боюсь что может быть _слишком_ поздно ))
Кстати погугли насчет Rustock.C и посмотри сколько времени он был невидим на тысячах компьтеров.
>Вот я думаю что на мой PC можете трудится хотя бы год, но не всунете ничего
Видишь ли, нет никакой гарантии, что прямо сейчас в твоем компе не сидит руткит последнего поколения.

 

ozzman2k

Извини, если ты такое сказал, то только у тебя этот rootkit может сидеть. Этой фразой ты просто все испортил. Мальчик, мне пришлось перейти БК, commodore, atari, zx spectrum, 286 и т.д. со всеми ос начиная cp/m, и первый язык бил assembler. И ты думаешь есть хотя бы 0.0001% шанс что я не знаю что у меня на PC творится? Бред какой то

 

.

 

Nerka
Ну во-первых мальчиком будешь называть своих птушных друзей, во-вторых для тугодумов/слепых (нужное подчеркнуть) повторю - погугли строку Rustock.C, в частности сколько времени(а там счет на месяцы) этот руткит слал спам оставаясь полностью невидимым в системе. Также глянь на количество машин в его ботсети.

>И ты думаешь есть хотя бы 0.0001% шанс что я не знаю что у меня на PC творится? Бред какой то
lol, у тебя есть средства для мониторинга посекторного чтения диска? Работу с портами винчестера своего сможешь проконтролировать? Как насчет детекта механизмов реализованных в рутките, но выполняющих ту же функциональность что и система(сетевой стек хотя бы, как пример)? Найдешь? Да ты поток то нормально скрытый не обнаружишь.

0.0001% шанс ? АХАХА!

 

Clerk

я вот думаю почему ты такой комплексированный, всему недовольный, постоянно учишь делать так как нерекомендуэтся и т.д. (на первый взгляд пишешь точно не что то полезное, о гадости). Я хотя сам поклонник unix, но все равно думаю что в microsoft не полные идиоты сидят и ddk пишут не для того чтобы все это некоторые понимали конкретно в обратном направлении. Вот говорят тебе не лезь на хрен в usermode из ядра, так нет обезательно нужно (ну попробовал, закричал на весь мир "eureka" <- хотя ето открыл точно не ты, и это уже 5 лет всем известно). Потом появляются поклонники блин и начинают всем жизнь портить. Слава богу вы есче пишите такое гавно што за предели ваших соседеи из за BSOD это вийты неможет

ozzman2k

Ты вообще я вижу любитель полный. Даже говорить нет обо чем. А насчет low level работы с hdd то я еще во времена dos писал защити на полную блокировку контролера с мастер password. Это было 14 лет назад (а про такую вещь я думаю ты вряд ли теперь знаешь). Так что как уже говорил, бред который редко услышишь. И при этом когда свои код постоянно проверяешь с kernelmode дебагером, то как это возможно что ты чего либо не заметишь... Меньше фантастики смотреть надо.

 

.

 

Nerka
Откуда ты знаешь, что я знаю, а что нет? Ты потомственный телепат или что?
Пофиг, что ты там писал когда-то, речь не про это сейчас, а про то, что период детектируемости у современных зловредов весьма велик(rustock тому пример) и может исчисляться месяцами.

>И при этом когда свои код постоянно проверяешь с kernelmode дебагером, то как это возможно что ты чего либо не заметишь...
О как! Фраза "чего-либо незаметишь" внушает оптимизм! А ты знаешь чего искать то? Особенно веселые поиски будут в местах которые изменяются самой системой, но которые приглядел руткит(какой-нибудь KiInterruptTemplate).
Вобщем оставайся в блаженном неведении, мистер "писатель защит на hdd".