ntcreatefile电脑中了Rootkit.Win32.Aqent.awk咋办呢?

ntcreatefile  时间:2021-06-11  阅读:()

CreatFile()参数详细说明

CreateFile 声 明 FUNCTION ulong CreateFile(ref string lpFileName,ulong ess,ulong dwShareMode,ref SECURITY_ATTRIBUTES lpSecurityAttributes,ulong dwCreationDisposition,ulong dwFlagsAndAttributes,ulong hTemplateFile) LIBRARY "kernel32.dll" ALIAS FOR "CreateFileA" 说 明 这是一个全功能的例程,可打开和创建文件、管道、邮槽、通信服务、设备以及控制台。

返回值 Long,如执行成功,则返回文件句柄。

INVALID_HANDLE_VALUE表示出错,会设置GetLastError。

即使函数成功,但若文件存在,且指定了CREATE_ALWAYS 或 OPEN_ALWAYS,GetLastError也会设为ERROR_ALREADY_EXISTS。

参数表 参数 类型及说明 lpFileName String,要打开的文件的名字。

ess Long,如果为 GENERIC_READ 表示允许对设备进行读访问;如果为 GENERIC_WRITE 表示允许对设备进行写访问(可组合使用);如果为零,表示只允许获取与一个设备有关的信息。

dwShareMode Long,零表示不共享; FILE_SHARE_READ 和/或 FILE_SHARE_WRITE 表示允许对文件进行共享访问。

lpSecurityAttributes SECURITY_ATTRIBUTES,指向一个SECURITY_ATTRIBUTES结构的指针,定义了文件的安全特性(如果操作系统支持的话)。

dwCreationDisposition Long,下述常数之一: CREATE_NEW 创建文件;如文件存在则会出错。

CREATE_ALWAYS 创建文件,会改写前一个文件。

OPEN_EXISTING 文件必须已经存在。

由设备提出要求。

OPEN_ALWAYS 如文件不存在则创建它。

TRUNCATE_EXISTING 讲现有文件缩短为零长度。

dwFlagsAndAttributes Long,一个或多个下述常数 FILE_ATTRIBUTE_ARCHIVE 标记归档属性。

FILE_ATTRIBUTE_COMPRESSED 将文件标记为已压缩,或者标记为文件在目录中的默认压缩方式。

FILE_ATTRIBUTE_NORMAL 默认属性。

FILE_ATTRIBUTE_HIDDEN 隐藏文件或目录。

FILE_ATTRIBUTE_READONLY 文件为只读。

FILE_ATTRIBUTE_SYSTEM 文件为系统文件。

FILE_FLAG_WRITE_THROUGH 操作系统不得推迟对文件的写操作。

FILE_FLAG_OVERLAPPED 允许对文件进行重叠操作。

FILE_FLAG_NO_BUFFERING 禁止对文件进行缓冲处理。

文件只能写入磁盘卷的扇区块。

FILE_FLAG_RANDOM_ACCESS 针对随机访问对文件缓冲进行优化。

FILE_FLAG_SEQUENTIAL_SCAN 针对连续访问对文件缓冲进行优化。

FILE_FLAG_DELETE_ON_CLOSE 关闭了上一次打开的句柄后,将文件删除。

特别适合临时文件。

也可在Windows NT下组合使用下述常数标记: SECURITY_ANONYMOUS, SECURITY_IDENTIFICATION, SECURITY_IMPERSONATION, SECURITY_DELEGATION, SECURITY_CONTEXT_TRACKING, SECURITY_EFFECTIVE_ONLY hTemplateFile Long,如果不为零,则指定一个文件句柄。

新文件将从这个文件中复制扩展属性。

备 注 打开一个通信端口时(如COM1),无论如何都要设置成 OPEN_EXISTING。

这个函数代替了lOpen 和 lCreate函数,应该是我们的首选。

这个判断语句用C++该怎么写呀?

两种方法: 1. 驱动程序, hook Ntcreatefile,或是Zwcreatefile,当发现开启的程序是qq,exe,就关闭当前进程 2. 应用程序, 建立一个线程枚举进程,如果发现有qq.exe,自杀

电脑中了Rootkit.Win32.Aqent.awk咋办呢?

rootkit类病毒是极难处理的,采用rootkit技术的病毒可以很好的隐藏自身,资源管理器甚至查不到这个路径,就算你打开查看所有文件也是这样。

按杀毒软件提供的路径,记下来 (这种类型的病毒,杀软查杀时一般会报Windows/system32/drivers文件夹下的一个****.sys文件是病毒文件的) 1.下载一个软件:冰刃(/website/2005/0829/391.html) 这是一个绿色软件,下载解压缩后即可使用。

2.在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下,找到这个文件。

3.通过按钮“创建时间”对这个文件夹下的文件进行排序,仔细查看与这个文件在创建时间是同一天的所有文件(但是不是都是与它一样是病毒文件,需要你判断)。

右击它们一一删除。

用同样的方法排查下system32文件夹,看看有没有同名的.dll文件存在,有的话,一并删除。

4.搜索注册表里这个文件的键值,删除搜索到的--如果有的话。

5.重启电脑,这个东西应该清除干净了。

另外,你如果嫌上面的方法比较麻烦的话,你可以下载一个超级巡警来扫描查杀这一类的病毒,安装好这个软件后,点击:设置,选择扫描选设置下的特殊模块,勾选这个选项里的2个选项。

然后重启这个软件,一般就可以将这一类的病毒清除了。

6、直接下载个AVG Anti-spyware7.5在安全模式下查杀就ok了!! 7.下载一个解锁软件,在找到sys病毒文件后将他解锁再将他删除就可以了,这个苦头兄弟我也是吃过呢,郁闷啊,祝好运呢 unlocker下载地址:/soft/24732.htm

美国云服务器 2核4G限量 24元/月 香港云服务器 2核4G限量 24元/月 妮妮云

妮妮云的来历妮妮云是 789 陈总 张总 三方共同投资建立的网站 本着“良心 便宜 稳定”的初衷 为小白用户避免被坑妮妮云的市场定位妮妮云主要代理市场稳定速度的云服务器产品,避免新手购买云服务器的时候众多商家不知道如何选择,妮妮云就帮你选择好了产品,无需承担购买风险,不用担心出现被跑路 被诈骗的情况。妮妮云的售后保证妮妮云退款 通过于合作商的友好协商,云服务器提供2天内全额退款到网站余额,超过2天...

TMThosting:VPS月付55折起,独立服务器9折,西雅图机房,支持支付宝

TMThosting发布了今年黑色星期五的促销活动,即日起到12月6日,VPS主机最低55折起,独立服务器9折起,开设在西雅图机房。这是一家成立于2018年的国外主机商,主要提供VPS和独立服务器租用业务,数据中心包括美国西雅图和达拉斯,其中VPS基于KVM架构,都有提供免费的DDoS保护,支持选择Windows或者Linux操作系统。Budget HDD系列架构CPU内存硬盘流量系统价格单核51...

ftlcloud(超云)9元/月,1G内存/1核/20g硬盘/10M带宽不限/10G防御,美国云服务器

ftlcloud怎么样?ftlcloud(超云)目前正在搞暑假促销,美国圣何塞数据中心的云服务器低至9元/月,系统盘与数据盘分离,支持Windows和Linux,免费防御CC攻击,自带10Gbps的DDoS防御。FTL-超云服务器的主要特色:稳定、安全、弹性、高性能的云端计算服务,快速部署,并且可根据业务需要扩展计算能力,按需付费,节约成本,提高资源的有效利用率。点击进入:ftlcloud官方网站...

ntcreatefile为你推荐
qq注册账号免费申请申请qq号免费立即注册winhttp请问winhttp.dl是什么文件??自动识别查询快递单号怎样在网上查快递单号企业资源管理系统企业管理系统都有什么功能virusscan已安全McAfee VirusScan 10.0 windows 还有安全报警华为总裁女儿为啥姓孟孟晚舟姓孟,任正非姓任,孟晚舟怎么是任正非的女?人肉搜索引擎怎样使用人肉搜索引擎?移动硬盘文件或目录损坏且无法读取移动硬盘提示文件或目录损坏且无法读取,怎么修复上传图片网站速度超快的上传图片网站监控插件观看远程监控时,提示需要一个插件来显示
深圳虚拟主机 西安服务器租用 过期域名查询 google镜像 fastdomain Vultr linkcloud godaddy php探针 线路工具 debian源 浙江独立 域名转向 什么是服务器托管 四核服务器 shopex主机 外贸空间 深圳域名 买空间网 宿迁服务器 更多