怎样禁止创建文件？

Qokelate · 发表于 2012-3-11 00:21:24

本帖最后由 Qokelate 于 2012-3-11 00:24 编辑

回复 10# pusofalse

厉害，很强大，不过除了重命名方法被禁止了之外，其它方法还是可以，比如直接另存为或使用非已禁止的程序名来建立，期待更强大版本，呵呵

顺便问下，有没方法可以保护指定文件不被删除或重命名？

pusofalse · 发表于 2012-3-11 02:17:41

回复 17# Qokelate

用“另存为”的方法可以间接改名，是因为你调用了记事本程序来将文件另存，调用_DenyCreateFile("notepad.exe", $aFilePath, 1)就可以禁止了。

“使用非已禁止的程序名来建立”，这个函数就是根据自定义的路径规则来禁止建立文件的，你没有指定要禁止的文件名，当然可以创建了。

另外，文件不被删除或重命名，这个有很多方法。
比如用FileOpen函数打开文件，其他进程就不能访问此文件了。另一种方法，以独占方式获取文件句柄，将此句柄复制到其他进程中，这跟用FileOpen函数的原理一样。第三种，设置文件权限，并且在进程的令牌中添加受限SID，或禁止令牌中用于访问检查的用户和组，这样做可以让某一指定进程具有访问文件的权限，而其他进程则没有。第四种，挂钩系统函数NtSetInformationFile禁止移动和重命名，或NtDeleteFile禁止彻底删除文件。

dd20121221 · 发表于 2012-3-11 10:31:49

回复 18# pusofalse

看见现在很多网吧用的系统维护平台都有用正则禁止文件创建的，用于防御病毒，不知道是怎么做到的。
还有，是否能做到禁止进程树中的任何进程创建文件，这样功能也就强大了很多。

Qokelate · 发表于 2012-3-11 19:11:03

回复 19# dd20121221

这种情况是可以实现的，不过思路上要分两层，
1.建立进程实时检测当前进程列表并进行匹配
2.发现匹配的进程立即进程禁止动作

iPAQ · 发表于 2012-3-11 19:52:17

太强大了，可惜下不了附件

redapple2008 · 发表于 2012-3-14 09:53:23

等待高人出现

kood481748 · 发表于 2012-3-14 10:44:29

回复 10# pusofalse

网吧中某一计费软件会在C:\windows\下的任意目录中创建一个广告文件，
该广告文件的路径是隋机的，但都是在C:\windows\下，
进程名也是隋机的，但进程名长度都是15位的，

不知道P版能不能禁止该计费软件创建这个广告文件？

dd20121221 · 发表于 2012-3-14 12:25:14

回复 24# kood481748

应该很难的，正则和子进程都要用到，现在这2个都很难实现

zzbtlc · 发表于 2012-3-14 16:08:51

学习了··

redapple2008 · 发表于 2012-3-15 09:14:51

好玩，不错的，下来玩玩。

jixiren001 · 发表于 2012-3-15 14:58:32

威胁：远程线程注入是一种把代码注入到其他进程执行的行为，木马通常利用此技术隐藏自己的恶意行为。建议您阻止。

360的提示，

redapple2008 · 发表于 2012-3-15 15:00:44

设置权限可以解决问题。

dd20121221 · 发表于 2012-3-16 16:18:28

回复 29# redapple2008

设置什么权限？有无例子？

wjc826194 · 发表于 2012-3-17 01:11:45

P大一般情况下都是由 explorer.exe 创建文件的吗`？比如我们右键的新建文件这样的行为``

非典男人 · 发表于 2012-3-17 09:43:32

P版牛人，

		自动登录	找回密码
密码			加入

[AU3基础] 怎样禁止创建文件？