Wątek przeniesiony 2016-07-05 02:24 z Newbie przez furious programming.

ukrywanie plików i folderów

0

Witam
Zainstalowałem aplikację "Folder Protect" która służy do ukrywania plików i folderów, można nią zabezpieczyć też pliki i foldery przed zapisem i/lub odczytem do tego stopnia ze nawet na koncie administratora prawa nadane dowolnemu użytkownikowi przez ww aplikację są nadrzędne, bardzo mnie to zaciekawiło więc postanowiłem "prześledzić" w jaki sposób działa ta aplikacja a więc uruchomiłem programy typu "RegShot" oraz "Spy Me Tools" które służa do monitorowania zmian w rejestrze "Spy Me Tools" dodatkowo monitoruje zmiany wprowadzane w plikach, niestety niczego konkretnego się nie dowiedziałem i w rejestrze nie było żadnych zmian związanych z akcjami wykonanymi przez aplikację, jezeli chodzi o pliki to ukryty plik i/lub folder "niby" był najpierw usuwany (pomimo że nie znalazł się w koszu) nie chodzi tez o ustawianie atrybutów +s i +h bo nie widac ukrytych plików i folderów nawet pomimo opcji aby pokazywane były pliki systemowe oraz ukryte. Ukryte pliki oraz foldery widac za to gdy uruchomi sie komputer korzystając z wersji LIVE systemu operacyjnego niezaleznie czy jest to jakaś dystrybucja linuxa czy Windows XP w wersji LIVE wiec sądze ze chodzi o jakąś "sztuczkę" w rejestrze niestety nie mam pojęcia jaką i oczywiście szukałem informacji na ten temat w internecie ale niczego nie znalazłem, orientuje się ktoś w jaki sposób działają tego typu aplikację i czy chodzi o rejestr czy może jest to związane z jakimis bardziej zaawansowanymi metodami? System na jakim testowałem "Folder Protect" to Windows XP Professional z SP3.

0

Aby udzielić odpowiedź na pytanie "jak to działa" trzeba by dokładnie przeanalizować tą aplikację, natomiast z tego co piszesz wydaje (słowo klucz) się, że Folder Protect ma po prostu driver w systemie, który wpina się w stack od filesystemu (https://msdn.microsoft.com/en-us/windows/hardware/drivers/ifs/filter-manager-and-minifilter-driver-architecture) i filtruje w ten sposób. Jeśli tak jest, to jedyne zmiany w rejestrze jakie zobaczysz, to zarejestrowanie nowego sterownika.

Cytat na stronie producenta wydaje się to potwierdzać:

Folder Protect uses Windows Kernel-level protection for complete windows compatibility which also makes it unbreakable.

Jeśli tak faktycznie jest, to prawdopodobnie wystarczy aby administrator wyłączył driver od tego programu aby pliki i foldery znowu stały się dostępne.

Jest też kilka innych sposobów, aby to działało - np. na poziomie hookowania API w user mode, albo na poziomie hookowania syscalli po stronie kernela, natomiast w tych wypadkach trudno by im było zachować kompatybilność z różnymi systemami (plus patch guard byłby irytujący), więc nie sądzę, by tak było.

0
Gynvael Coldwind napisał(a):

natomiast z tego co piszesz wydaje (słowo klucz) się, że Folder Protect ma po prostu driver w systemie, który wpina się w stack od filesystemu

Rzeczywiście Folder Protect instaluje sterownik a dokładniej to "WinFBdrv" ponoć po to aby chronić pliki i foldery również wtedy gdy komputer jest uruchomiony w trybie awaryjnym.

1 użytkowników online, w tym zalogowanych: 0, gości: 1