информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Сетевые кракеры и правда о деле ЛевинаГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Ростелеком заподозрили в попытке... 
 Линуксовый ботнет, распространяющийся... 
 Конец поддержки Internet Explorer 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / programming
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Если пишешь под дотнет, то используй класс... 16.12.06 16:38  Число просмотров: 3079
Автор: MadBinom Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Если пишешь под дотнет, то используй класс FileSystemWatcher. Если Api - STFW(например как-то давно я ковырял исходники(с++) проги осуществляющей шифрование/lдешифрование файлов в папке при обращении к ним). А вообще, имхо, труднее написать сам антивирус, чем работа с файлами. Если ты напишешь антивирус осуществляющий только поиск по каким-то признаком - ты обречен на провал - женя касперский(и подобные) имеет больше ресурсов, чем ты. Поэтому надо работать в направлении эвристических алгоритмов - это вряд ли кто-то нормально сделал - задача нетривиальная. Вот тут и борись.
<programming>
Irp_mj_create и иже с ними - перехват сообщения и анализ открываемого файла 15.12.06 18:03  
Автор: santa Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Пытаюсь написать что-то похожее на антивирусный монитор. Посоветовали для этой цели написать драйвер фильтр файловой системы.
По идее софтина должна состоять из двух частей: собственной драйвера и пользовательской части (приложение в ринг3). В связи с этим вопрос:

Как обработать открываемый файл в пользовательском приложении? (или как добавить фильтр на сообщения обрабатываемые моим драйвером, допустим по имени процесса открывающего файл?).

Зы на данном этапе уродую исходники Руссиновича для FileMon 4.34.
Правильно посоветовали. 19.12.06 14:22  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Пытаюсь написать что-то похожее на антивирусный монитор.
> Посоветовали для этой цели написать драйвер фильтр файловой
> системы.

Правильно посоветовали.

> По идее софтина должна состоять из двух частей: собственной
> драйвера и пользовательской части (приложение в ринг3). В
> связи с этим вопрос:

Правильный подход, на мой взгляд, использование ring3 только для взаимодействия с пользователем и применение конфигурации к драйверу. Все решения драйвер должен принимать сам на основе имеющейся конфигурации.

> Как обработать открываемый файл в пользовательском
> приложении? (или как добавить фильтр на сообщения

Казнить нельзя помиловать. "Как обработать файл, открываемый в пользовательском приложении" или "как в пользовательском приложении обработать открываемый файл".

> обрабатываемые моим драйвером, допустим по имени процесса
> открывающего файл?).

Получить имя процесса, сравнить с заданными фильтрами, в зависимости от результата вернуть ошибку либо переправить IRP ниже.

> Зы на данном этапе уродую исходники Руссиновича для FileMon
> 4.34.
Лушче DDK-шные
Если пишешь под дотнет, то используй класс... 16.12.06 16:38  
Автор: MadBinom Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Если пишешь под дотнет, то используй класс FileSystemWatcher. Если Api - STFW(например как-то давно я ковырял исходники(с++) проги осуществляющей шифрование/lдешифрование файлов в папке при обращении к ним). А вообще, имхо, труднее написать сам антивирус, чем работа с файлами. Если ты напишешь антивирус осуществляющий только поиск по каким-то признаком - ты обречен на провал - женя касперский(и подобные) имеет больше ресурсов, чем ты. Поэтому надо работать в направлении эвристических алгоритмов - это вряд ли кто-то нормально сделал - задача нетривиальная. Вот тут и борись.
На Сорцфордже лежит Файлмон - 18.12.06 09:47  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
готовый фильтр файловой системы. Я его использовал в похожих задачах - перехват обращений к сетевым дискам. Если будут конкретные вопросы - спрашивай.
Вопросы есть))) 24.12.06 20:04  
Автор: santa Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> готовый фильтр файловой системы. Я его использовал в
> похожих задачах - перехват обращений к сетевым дискам. Если
> будут конкретные вопросы - спрашивай.

Вопросы есть)))
Нарыл исходники к Filemon 4.34 и никак не могу понять, какие параметры нужно передавать из пользовательского приложения драйверу при вызове DeviceIOControl() на установку пустого фильтра (для IOCTL_FILEMON_SETFILTER). В частности, что впихнуть в FilterDefinition?
В DDK лежат sfilter/filespy - тоже готовые фильтры 19.12.06 14:16  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
И как раз в качестве основы они лучше. Просто потому, что хотя бы вырезать лишнее не придется.

> готовый фильтр файловой системы. Я его использовал в
> похожих задачах - перехват обращений к сетевым дискам. Если
> будут конкретные вопросы - спрашивай.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2022 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach