Среда, 17.01.2018, 18:03 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx 
delfcode » Delphi » Вирусология Delphi » Запрет удаления файла.
Запрет удаления файла.
NeoДата: Вторник, 06.03.2012, 17:15 | Сообщение # 1
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 316
Статус: Offline
Всем привет , wink хотел спросить,какие API функции нужно перехватывать,чтобы отловить событие удаления
файла в проводнике?Я пробовал перехватывать DeleteFile и NtDeleteFile.Всё это работает,если удалять файл именно используя эти функции.Но на работу проводника это не влияет.Может он использует другие функции? wink


Сообщение отредактировал Neo - Вторник, 06.03.2012, 17:16
 
xXxSh@dowxXxДата: Вторник, 06.03.2012, 17:32 | Сообщение # 2
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Интересный вопрос, то же хотелось бы узнать...
 
dolphinДата: Вторник, 06.03.2012, 18:01 | Сообщение # 3
Администратор
Сообщений: 902
Статус: Offline
Проводник удаляет в корзину и через шелл вроде, попробуй SHFileOperationA из shell32.dll

Система: Windows 10 x64, Windows XP
Среды программирования: Delphi 7, Delphi 10 Seattle

Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
 
AndroidДата: Вторник, 06.03.2012, 19:44 | Сообщение # 4
Постоянный
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 100
Статус: Offline
Товарищи, существуют же всякие мониторы испоьльзования АПИшных функций. Доступно только для пользователей вот тут оно как раз вроде и есть

ну плюсаните меня кто-нить))))


Сообщение отредактировал Android - Вторник, 06.03.2012, 19:44
 
dolphinДата: Среда, 07.03.2012, 13:49 | Сообщение # 5
Администратор
Сообщений: 902
Статус: Offline
Android, Всё-таки это не ответ на поставленный вопрос, а средство. Сам давно использую эту программу, но чтобы найти в том что она выдаёт нужное можно долго просидеть в поисках. Мог бы тогда сразу написать какие апи функции используются и что нашёл при помощи этого софта был бы + однозначно bb

Система: Windows 10 x64, Windows XP
Среды программирования: Delphi 7, Delphi 10 Seattle

Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
 
NeoДата: Среда, 07.03.2012, 17:58 | Сообщение # 6
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 316
Статус: Offline
Я тут перехватил SHFileOperationA,но на explorer это тоже не влияет.Если вызывать напрямую,то перехват работает(всё как и раньще).Вот мой код:
А вот вызов:

Может надо внедрить её в explorer напрямую,а не через хук?


Сообщение отредактировал Neo - Среда, 07.03.2012, 18:06
 
NeoДата: Четверг, 08.03.2012, 06:20 | Сообщение # 7
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 316
Статус: Offline
Короче,прочитал тут,понял,что бесполезно
перехватывать SHFileOperationA.Прочитал тут и понял,что надо перехватывать
ZwCreateFile и ZwOpenFile.Может у кого будут ещё какие-либо варианты?Кто знает как правильно вызвать эти функции?


Сообщение отредактировал Neo - Четверг, 08.03.2012, 06:24
 
xXxSh@dowxXxДата: Четверг, 08.03.2012, 11:01 | Сообщение # 8
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
по поводу ZwCreateFile и ZwOpenFile где то тут на форуме уже обсуждалось, точно не помню уже где...

а вобще если я не ошибаюсь то для удаления каких либо объектов нужно что бы у этих функций был установлен флаг что то типа DesiredAccess & DELETE - операция удаления файла, а вот на счет вызывает ли ее проводник, это уже другой вопрос...


Сообщение отредактировал xXxSh@dowxXx - Четверг, 08.03.2012, 11:02
 
NeoДата: Четверг, 08.03.2012, 14:07 | Сообщение # 9
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 316
Статус: Offline
ВСЁ,я разобрался!!!))) cry cool biggrin wink ;) wink Вообщем,с начала я перехватил ZwCreateFile,получилась такая картина:
при копировании запретного файла(в проводнике) мой перехват срабатывает!Но при удалении нет.Потом я перехватил ZwOpenFile,
получилось,что это мне не только помогло отлавливать копирование,но и переименование,вырезание,удаление (shift+del) и
удаление в корзину!
Вот с удовольствием привожу пример моего когда,для запрета действий над файлом(папкой),имеющих в своём имени слово Project1.
Кстати,ещё есть одна фишка:если заблочить таким образом папку,то при попытке её открытия,тоже сработает перехват))).

Neo©


Сообщение отредактировал Neo - Четверг, 08.03.2012, 14:07
 
xXxSh@dowxXxДата: Четверг, 08.03.2012, 14:38 | Сообщение # 10
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
то есть получается что ZwCreateFile тебе не понадобилась вовсе?

получается что мы подгружаем длл к какому либо процессу, и она будет перехватывать открытие, редактирование, либо удаление данной папки или файла, так?, или нужно обязательно к explorer.exe подгружать?

а ты разными методами тестировал? я имею ввиду не только через проводник но и какие либо другие программы работающие с проводником, или они в принципе одни и те же функции используют?

странно я пробовал инектить длл в explorer.exe ничего не дало... sad


Сообщение отредактировал xXxSh@dowxXx - Четверг, 08.03.2012, 15:04
 
NeoДата: Четверг, 08.03.2012, 15:04 | Сообщение # 11
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 316
Статус: Offline
Я внедрял dll во все оконные процессы,а не конкретно инжектил в explorer.Работает это только на explorere,а на cmd не распростроняется(.Там,видимо,ещё что-то используется!А вот тотал-как проводник.
P.S только что поставил запретную строку- рабочий стол))).Так можно и попугать кого-нибудь))).
 
xXxSh@dowxXxДата: Четверг, 08.03.2012, 20:37 | Сообщение # 12
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
да точно через cmd удаляется, а может быть попробовать перехватить все функции сразу в том числе и DeleteFile вместе с NtDeleteFile + те что ты использовал в последнем исходнике..,может так хоть удастся перехватывать и cmd?

еще заметил что файл можно редактировать, нельзя только удалить, переименовать, переместить либо копировать...
так же не позволяет присвоить папке или файлу имя заданное в dll, но что самое интересное, фактически файл переименовывается, но визуально имя остается прежним, как только dll выгружается и перестает перехватывать функции, то файл тут же принимает название которое мы пытались ему присвоить (а именно заданное в dll)...


Сообщение отредактировал xXxSh@dowxXx - Четверг, 08.03.2012, 20:51
 
VolfДата: Четверг, 11.04.2013, 17:06 | Сообщение # 13
Частый гость
Зарегистрирован: 11.04.2013
Группа: Пользователи
Сообщений: 41
Статус: Offline
я делал запрет на удаление.
Необходимо перехватить
MoveFileW //вызывается для удаления файлов через эксплорер(перемещение в корзину)
DeleteFileW //Вызывается при удалении через сочетание клавиш Shift+del
 
vasysidorДата: Вторник, 17.06.2014, 22:39 | Сообщение # 14
Новичок
Зарегистрирован: 17.06.2014
Группа: Пользователи
Сообщений: 1
Статус: Offline
Цитата Neo ()
Я внедрял dll во все оконные процессы

Если не сложно, напишите, пожалуйста, как это сделать, очень прошу, кодом, на любом удобном для Вас языке (лучше, конечно Delphi).
Перелопатил Google, не смог разобраться, увы, новичок. Заранее спасибо.
 
NeoДата: Воскресенье, 21.09.2014, 15:03 | Сообщение # 15
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 316
Статус: Offline
Перехватить-то её,конечно,получилось,но толку от этого особого не было.Только для тех,кто напрямую её вызывает,то да.Для запрета удаления файла надо хучить другие функции/
 
VBДата: Среда, 24.09.2014, 13:06 | Сообщение # 16
Был не раз
Зарегистрирован: 29.04.2014
Группа: Пользователи
Сообщений: 19
Статус: Offline
Цитата Neo ()
Перехватить-то её,конечно,получилось,но толку от этого особого не было.Только для тех,кто напрямую её вызывает,то да.Для запрета удаления файла надо хучить другие функции/

вопрос какие же именно функции?
 
Волк-1024Дата: Среда, 24.09.2014, 13:34 | Сообщение # 17
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
Полагаю что NtDeleteFile и NtQueryInformationFile

Pascal, C\C++, Assembler, Python
 
stas971Дата: Пятница, 26.09.2014, 21:36 | Сообщение # 18
Новичок
Зарегистрирован: 26.09.2014
Группа: Пользователи
Сообщений: 1
Статус: Offline
Neo, надо посмотреть как устроенна система win 7 и на нее сделать, ибо этот код не пашет
 
mercerДата: Пятница, 11.11.2016, 11:06 | Сообщение # 19
Новичок
Зарегистрирован: 11.11.2016
Группа: Пользователи
Сообщений: 1
Статус: Offline
На Вин7 не пашет к сожалению
 
lzmuuДата: Среда, Сегодня, 11:05 | Сообщение # 20
Частый гость
Зарегистрирован: Сегодня
Группа: Пользователи
Сообщений: 50
Статус: Offline
Nike Air Max Enfant
armani outlet
boulder shoes sew repair
burberry outlet
nike running
puma sneakers
rayban sunglasses
pandora jewelry
Lunette Oakley
Nike Air Max 90
Ray Ban sunglasses
burberry factory outlet
Nike Air Max Enfant
hermes outlet
Chaussures pour Femme
Nike Air Max Femme
pandora bracelets charms
coach outlet
Nike Air Max
kate spade outlet sale
kate spade outlet
Premier Jewelry - Official
shop mlb
burberry sale
michael kors
coach outlet online
Louis Vuitton handbags
Nike Free Run
Nike Air Jordan Enfants
Air Jordan 11 Femme
burberry outlet sale
michael kors bags online
breitling watches
nike factory outlet
Wholesale Outlet Sale
black friday michael kors
coach outlet
louis vuitton outlet
ray ban australia
cheap ray bans
Brighton Jewelry - Official
jimmy choo australia
Nike Air Jordan Enfants
pandora jewelry uk
ray ban sunglasses sale
michael kors bags
pandora australia
rolex watch
kate spade outlet store
kate spade outlet bags
Nike Air Max 1
tory burch
Wholesale womens autumn winter clothing
michael kors outlet
Wedding Rings- Official
The Retail Compliance Association
coach outlet
chaussure pas cher
Air Max Enfants
yeezy shoes
Wave Prophecy 2 Shoes
prada outlet sale
Jordan Fusion Femme
Family Name Research
louis vuitton outlet
versace outlet
kate spade outlet
mode damenschuhe
pandoracharms
burberry outlet
ray ban australia
kate spade outlet online
prada outlet online
payless shoes online
Nike Free Run
canada goose outlet
nike outlet
black friday
jimmy choo shoes
michael kors handbags
pandora australia
kate spade outlet online
Brighton Jewelry - Official
pandora charms australia
coach outlet store
tory burch
under armour
coach outlet online
backlink
oakley outlet
ray-ban sunglasses
nike outlet
school bags on sale
michael kors outlet
nike outlet online
ugg boots
michael kors factory outlet
ray ban polarized
birkenstock sandals
jimmy choo uk
coach outlet online sale
chrome store
timberland outlet
rayban prescription glasses
yeezy boots 350
kate spade outlet online
prada outlet online
michael kors outlet online
China wholesale
Jewelry Armoire - Official
clearance
puma shoes
Adidas Outlet
gucci watches
michael kors bags
kate spade outlet
Green Cleaned
Nike Air Max 2017
Air Max 90
handbags online sale
Nike Air Force 1 Homme
Nike Air Max Chase
nike jordan shoes
pandora australia
lzm1.17
 
delfcode » Delphi » Вирусология Delphi » Запрет удаления файла.
Страница 1 из 11
Поиск:

delfcode.ru © 2008 - 2018 Хостинг от uCoz