找回密码
 加入
搜索
楼主: dd20121221

[AU3基础] 怎样禁止创建文件?

 火... [复制链接]
发表于 2012-3-11 00:21:24 | 显示全部楼层
本帖最后由 Qokelate 于 2012-3-11 00:24 编辑

回复 10# pusofalse


    厉害 ,很强大,不过除了重命名方法被禁止了之外,其它方法还是可以,比如直接另存为或使用非已禁止的程序名来建立,期待更强大版本,呵呵

顺便问下,有没方法可以保护指定文件不被删除或重命名?
发表于 2012-3-11 02:17:41 | 显示全部楼层
回复 17# Qokelate


用“另存为”的方法可以间接改名,是因为你调用了记事本程序来将文件另存,调用_DenyCreateFile("notepad.exe", $aFilePath, 1)就可以禁止了。

“使用非已禁止的程序名来建立”,这个函数就是根据自定义的路径规则来禁止建立文件的,你没有指定要禁止的文件名,当然可以创建了。

另外,文件不被删除或重命名,这个有很多方法。
比如用FileOpen函数打开文件,其他进程就不能访问此文件了。另一种方法,以独占方式获取文件句柄,将此句柄复制到其他进程中,这跟用FileOpen函数的原理一样。第三种,设置文件权限,并且在进程的令牌中添加受限SID,或禁止令牌中用于访问检查的用户和组,这样做可以 让某一指定进程具有访问文件的权限,而其他进程则没有。第四种,挂钩系统函数NtSetInformationFile禁止移动和重命名,或NtDeleteFile禁止彻底删除文件。
 楼主| 发表于 2012-3-11 10:31:49 | 显示全部楼层
回复 18# pusofalse


    看见现在很多网吧用的系统维护平台都有用正则禁止文件创建的,用于防御病毒,不知道是怎么做到的。
  还有,是否能做到禁止进程树中的任何进程创建文件,这样功能也就强大了很多。
发表于 2012-3-11 19:11:03 | 显示全部楼层
回复 19# dd20121221


    这种情况是可以实现的,不过思路上要分两层,
1.建立进程实时检测当前进程列表并进行匹配
2.发现匹配的进程立即进程禁止动作
发表于 2012-3-11 19:52:17 | 显示全部楼层
太强大了,可惜下不了附件
发表于 2012-3-14 09:53:23 | 显示全部楼层
等待高人出现
发表于 2012-3-14 10:44:29 | 显示全部楼层
回复 10# pusofalse

网吧中某一计费软件会在C:\windows\下的任意目录中创建一个广告文件,
该广告文件的路径是隋机的,但都是在C:\windows\下,
进程名也是隋机的,但进程名长度都是15位的,

不知道P版能不能禁止该计费软件创建这个广告文件?
 楼主| 发表于 2012-3-14 12:25:14 | 显示全部楼层
回复 24# kood481748


    应该很难的,正则和子进程都要用到,现在这2个都很难实现
发表于 2012-3-14 16:08:51 | 显示全部楼层
学习了··
发表于 2012-3-15 09:14:51 | 显示全部楼层
好玩,不错的,下来玩玩。
发表于 2012-3-15 14:58:32 | 显示全部楼层
威胁:远程线程注入是一种把代码注入到其他进程执行的行为,木马通常利用此技术隐藏自己的恶意行为。建议您阻止。

360的提示,
发表于 2012-3-15 15:00:44 | 显示全部楼层
设置权限可以解决问题。
 楼主| 发表于 2012-3-16 16:18:28 | 显示全部楼层
回复 29# redapple2008


    设置什么权限?有无例子?
发表于 2012-3-17 01:11:45 | 显示全部楼层
P大 一般情况下都是由 explorer.exe 创建文件的吗`?比如我们右键 的新建文件 这样的行为``
发表于 2012-3-17 09:43:32 | 显示全部楼层
P版 牛人,
您需要登录后才可以回帖 登录 | 加入

本版积分规则

QQ|手机版|小黑屋|AUTOIT CN ( 鲁ICP备19019924号-1 )谷歌 百度

GMT+8, 2024-12-25 14:24 , Processed in 0.069869 second(s), 14 queries .

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表