开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > 系统/网络安全 > 杀毒 > 查看源码
杀毒软件实时杀毒的奥秘(含源程序) .txt
资源名称:杀毒软件实时杀毒的奥秘(含源程序) .rar [点击查看]
上传用户:lcysgg88
上传日期:2007-05-05
资源大小:2k
文件大小:5k
源码类别:

杀毒

开发平台:

Visual C++

杀毒软件实时杀毒的奥秘(含源程序) .txt:源码内容
  1. 杀毒软件实时杀毒的奥秘(含源程序) 
  2.  
  3.  
  4.  
  5. 作者:7747.Net    文章来源:7747.Net    点击数:1    更新时间:2005-4-26 
  6.  
  7.  
  8. 来源:http://blog.csdn.net/jazzyfree/
  10. 市面上所有号称"虚拟机","_blank">防火墙"的实时监控杀毒软件无一不是使用的IFSHOOK技术.但是同时也有一些朋友不断写MAIL给我打听如何实现读写的监控.下面给出用VTOOLSD写的代码.也就是所有实时杀毒软件的奥秘.同时,很多拦截文件操作的软件,例如对目录加密,文件加密等,也采用了雷同的技术. 
  13. 由于代码十分简单,不分析了. 
  15. //============================================================================= 
  17. // 
  19. //By Lu Lin 2000.5.10 
  21. // Apply with VtoolsD 3.01 
  23. // DDK version is available if requested. 
  25. //Abstract: 
  27. // Install a IFS hook, monitoring any read and write access 
  29. // 
  31. //============================================================================= 
  33. // IFSHOOK.c - main module for IFSHOOK 
  36. #define DEVICE_MAIN 
  38. #include "ifshook.h" 
  40. #undef DEVICE_MAIN 
  43. //typedef EventHdl(pevent pev,pioreq pir); 
  46. typedef struct _Monitored_Files{ 
  48. struct _Monitored_Files *pNext_Monitored_Files;//pointer to next struct 
  50. struct _Monitored_Files *pPre_Monitored_Files;//pointer to previous struct 
  52. int sfn;//system file number 
  54. int open_count; 
  56. char path[260]; //ansi path name 
  58. }_Monitored_Files,*pMonitored_Files; 
  61. // 
  63. //Declare virtual device 
  65. // 
  67. Declare_Virtual_Device(IFSHOOK) 
  70. _Monitored_Files Monitored_Files; 
  72. ppIFSFileHookFunc PrevHook; 
  75. DefineControlHandler(SYS_VM_INIT, OnSysVMInit); 
  77. DefineControlHandler(SYS_DYNAMIC_DEVICE_INIT, OnSysDynamicDeviceInit); 
  79. DefineControlHandler(SYS_DYNAMIC_DEVICE_EXIT, OnSysDynamicDeviceExit); 
  81. DefineControlHandler(SYS_VM_TERMINATE, OnSysVMTerminate); 
  84. PCHAR ConvertPath( int drive, path_t ppath, PCHAR fullpathname ) 
  88. int i = 0; 
  90. _QWORD result; 
  93. // 
  95. // Stick on the drive letter if we know it. 
  97. // 
  99. if( drive != 0xFF ) { 
  102. fullpathname[0] = drive+'A'-1; 
  104. fullpathname[1] = ':'; 
  106. i = 2; 
  110. UniToBCSPath( &fullpathname[i], ppath-〉pp_elements, 260 , BCS_WANSI, &result ); 
  112. return( fullpathname ); 
  117. pMonitored_Files IsFileOpened(int i){ 
  119. pMonitored_Files p=&Monitored_Files; 
  122. while (p){ 
  124. if (i==p-〉sfn){ 
  126. return p; 
  130. p=p-〉pNext_Monitored_Files; 
  134. return 0; 
  139. BOOL ControlDispatcher( 
  141. DWORD dwControlMessage, 
  143. DWORD EBX, 
  145. DWORD EDX, 
  147. DWORD ESI, 
  149. DWORD EDI, 
  151. DWORD ECX) 
  155. START_CONTROL_DISPATCH 
  158. ON_SYS_VM_INIT(OnSysVMInit); 
  160. ON_SYS_DYNAMIC_DEVICE_INIT(OnSysDynamicDeviceInit); 
  162. ON_SYS_DYNAMIC_DEVICE_EXIT(OnSysDynamicDeviceExit); 
  165. END_CONTROL_DISPATCH 
  168. return TRUE; 
  173. int _cdecl MyIfsHook(pIFSFunc pfn, int fn, int Drive, int ResType, 
  175. int CodePage, pioreq pir) 
  179. int retvar,i; 
  181. char fullpathname[260]; 
  183. _Monitored_Files *FileEntry; 
  185. switch(fn){ 
  187. case IFSFN_OPEN:{ 
  189. retvar=(*PrevHook)(pfn, fn, Drive, ResType, CodePage, pir); 
  191. ConvertPath( Drive, pir-〉ir_ppath, fullpathname ); 
  193. FileEntry=IsFileOpened(pir-〉ir_sfn); 
  195. if (FileEntry){ 
  197. FileEntry-〉open_count++; 
  199. }else{ 
  201. FileEntry=&Monitored_Files; 
  203. while(1){ 
  205. if (FileEntry-〉pNext_Monitored_Files){ 
  207. FileEntry=FileEntry-〉pNext_Monitored_Files; 
  211. else{ 
  213. break; 
  219. FileEntry-〉pNext_Monitored_Files= 
  221. HeapAllocate( sizeof(_Monitored_Files),HEAPZEROINIT); 
  223. FileEntry-〉pNext_Monitored_Files-〉pPre_Monitored_Files=FileEntry; 
  225. FileEntry=FileEntry-〉pNext_Monitored_Files; 
  227. FileEntry-〉sfn=pir-〉ir_sfn; 
  229. FileEntry-〉open_count=1; 
  231. memcpy(FileEntry-〉path,fullpathname,260); 
  235. return retvar; 
  240. case IFSFN_READ:{ 
  242. //Do something here, 
  244. //eg. Decrypt the file. 
  246. char *str; 
  248. int j; 
  250. str=pir-〉ir_data; 
  252. j=pir-〉ir_length; 
  254. retvar=(*PrevHook)(pfn, fn, Drive, ResType, CodePage, pir); 
  256. FileEntry=IsFileOpened(pir-〉ir_sfn); 
  258. if (!stricmp("c:\test.txt",FileEntry-〉path)){ 
  260. for (i=0;i〈j;i++){ 
  262. str[i]--; 
  268. return retvar; 
  273. case IFSFN_WRITE:{ 
  275. //Do something here 
  277. //eg. Encrypt the file 
  279. FileEntry=IsFileOpened(pir-〉ir_sfn); 
  281. if (FileEntry){ 
  283. if (!stricmp("c:\test.txt",FileEntry-〉path)){ 
  285. for (i=0;i〈pir-〉ir_length;i++){ 
  287. (((char*)pir-〉ir_data)[i])++; 
  295. return (*PrevHook)(pfn, fn, Drive, ResType, CodePage, pir); 
  300. case IFSFN_CLOSE:{ 
  302. FileEntry=IsFileOpened(pir-〉ir_sfn); 
  304. if (FileEntry){ 
  306. FileEntry-〉open_count--; 
  308. if (!FileEntry-〉open_count){ 
  310. FileEntry-〉pPre_Monitored_Files-〉pNext_Monitored_Files= 
  312. FileEntry-〉pNext_Monitored_Files; 
  314. FileEntry-〉pNext_Monitored_Files-〉pPre_Monitored_Files= 
  316. FileEntry-〉pPre_Monitored_Files; 
  318. HeapFree(FileEntry,0); 
  324. return (*PrevHook)(pfn, fn, Drive, ResType, CodePage, pir); 
  332. return (*PrevHook)(pfn, fn, Drive, ResType, CodePage, pir); 
  337. BOOL OnSysVMInit(VMHANDLE hVM){ 
  339. return OnSysDynamicDeviceInit(); 
  344. BOOL OnSysDynamicDeviceInit() 
  348. PrevHook = IFSMgr_InstallFileSystemApiHook(MyIfsHook); 
  350. Monitored_Files.pNext_Monitored_Files=0; 
  352. Monitored_Files.pPre_Monitored_Files=0; 
  354. Monitored_Files.sfn=-1; 
  356. Monitored_Files.open_count=0; 
  358. Monitored_Files.path[0]=0; 
  361. return TRUE; 
  366. BOOL OnSysDynamicDeviceExit() 
  370. IFSMgr_RemoveFileSystemApiHook(MyIfsHook); 
  372. return TRUE; 
  377. void OnSysVMTerminate(VMHANDLE hVM){ 
  379. return OnSysDynamicDeviceExit(); 
  383.