-
-
[求助]minifilter对于文件映射时怎么过滤修改内容?
-
发表于:
2018-11-8 16:46
4306
-
[求助]minifilter对于文件映射时怎么过滤修改内容?
实现类似一个透明加解密的功能,在应用程序以文件映射方式打开时,minifilter没有收到
IRP_MJ_READ消息,知道这种情形下会收到
IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION消息,但是在处理这个消息的回调中,我好像并没有机会处理原始数据并且返回用户处理过的数据。当然即使有这样的机会出来数据,文件映射是进程间共享的,不应该改看到解密后的进程可能也会在一个合法进程打开加密文件时,看到解密后的映射内容,所以现在有两个问题,1.minifilter怎么过滤修改文件映射方式打开文件时的内容。2.假设1的问题解决了,如果不是双缓存,会不会有泄密的情形发生?
minifilter甚至连pagingio的读取请求都没有收到,理论上映射的时候当缺页时是会到文件系统请求读取文件的内容的,这个过程绕过minifliter了么?
如果有路过的大侠能个思路或关键字么?谢谢
[培训]科锐逆向工程师培训第53期2025年7月8日开班!
hzqst
