简介:SnipeSword狙剑是近两年出现的一款强大的安全反黑工具,它提供的众多新颖功能中.有个可以查看和删除文件过滤设备的功能。这个功能还是很有用的,于是我就分析了一下.这里和大家共同分享。我们首先要知道狙剑是发哪个IOCTL给驱动来提供这个功能的。运行狙剑.然后运行IrpTracker,在IrpTracker的“File-〉SelectDevice”中选择狙剑的设备Driver\SnipeSword,然后按Ctrl+F,清除所有的IRP请求类型.
狙剑文件与磁盘过滤驱动遍历和删除功能全逆向
