sandbox_document_final.odt

Else if createdisposition fileoverwrite

This preview shows page 7 - 9 out of 18 pages.

} else if (CreateDisposition == FILE_OVERWRITE || CreateDisposition == FILE_OVERWRITE_IF || CreateDisposition == FILE_SUPERSEDE || (!bFileOut && (CreateDisposition == FILE_CREATE || CreateDisposition == FILE_OPEN_IF))) { .................... } else if (CreateDisposition == FILE_CREATE && bFileOut) { .................... } V y ta đã l y đ c filepath, đi u c n làm ti p theo là x lý file đó sao cho đúng ^^. Các ượ ế c u trúc if – else trên chính là đ phân lo i các tr ng h p x lý. Nh ng tr c h t ta s ườ ư ướ ế nêu ra m t vài ví d đ minh h a cho vi c x lý file (v i gi s session hi n t i đang là ả ử 1001) Ví d 1: m u virus t o ra m t file m i có tên C:\Autorun.inf . Đ ng nhiên ta không th đ nó t o tr c ti p nh trên, ta s ph i chuy n filepath ươ ế ư thành C:\SANDBOX\1001\C_\Autorun.inf. Ví d 2: tr ng h p t ng t nh trên, gi s file ườ ươ ư ả ử C:\Autorun.inf đã có s n. Đi u khác bi t đây là hàm NtCreateFile có m t vài tham s nh h ng đ n k t qu ệ ở ố ả ưở ế ế th c hi n c a nó, đó là CreateDisposition. Ví d CreateDisposition = FILE_CREATE(t o m i) thì sao? N u file mu n t o m i đã t n t i r i thì ế NtCreateFile s tr v l i, còn n u file đó ch a t n t i, NtCreateFile s thành công. ề ỗ ế ư V y thì trong ví d này n u ta đ n thu n chuy n h ng cho nó t o m i file ế ơ ướ C:\SANDBOX\1001\C_\Autorun.inf thì hàm NtCreateFile s thành công (vì file này ch a h có tr c đó) trong khi n u nh ch y bình th ng thì NtCreateFile ph i tr ư ướ ế ư ườ
Image of page 7

Subscribe to view the full document.

v l i vì file ề ỗ C:\Autorun.inf đã t n t i r i. Ví d 3: virus ch y trong sandbox và đã ghi đè file C:\Windows\Explorer.exe b ng m t file khác, file này có ch a thông tin v server mà virus mu n k t n i đ n. Bây gi ế ế mu n đ c l i file này đ bi t c n ph i k t n i đ n server nào. ế ế ế Trong tr ng h p nh trên thì ta có th th y có 2 tài nguyên mang tên explorer.exe, ườ ư m t tài nguyên n m trong b tài nguyên g c (C:\Windows\Explorer.exe) và m t tài nguyên n m trong b riêng (C:\SANDBOX\1001\C_\Windows\Explorer.exe). V y thì ta ph i chuy n h ng đ c cho virus vào file nào? D th y đó là file trong b tài ướ nguyên riêng, b i vì ch có file đó m i ch a đ a ch server mà virus c n, còn file trong b g c, vì đ c sandbox đ m b o tính nguyên v n, nên là file chu n và không ch a ượ đ a ch server mà virus c n. Ví d 4: virus đã xóa file C:\Windows\Explorer.exe, bây gi nó l i mu n m file này ra đ ki m tra xem file đã b xóa th c s ch a.
Image of page 8
Image of page 9
  • Fall '19

{[ snackBarMessage ]}

What students are saying

  • Left Quote Icon

    As a current student on this bumpy collegiate pathway, I stumbled upon Course Hero, where I can find study resources for nearly all my courses, get online help from tutors 24/7, and even share my old projects, papers, and lecture notes with other students.

    Student Picture

    Kiran Temple University Fox School of Business ‘17, Course Hero Intern

  • Left Quote Icon

    I cannot even describe how much Course Hero helped me this summer. It’s truly become something I can always rely on and help me. In the end, I was not only able to survive summer classes, but I was able to thrive thanks to Course Hero.

    Student Picture

    Dana University of Pennsylvania ‘17, Course Hero Intern

  • Left Quote Icon

    The ability to access any university’s resources through Course Hero proved invaluable in my case. I was behind on Tulane coursework and actually used UCLA’s materials to help me move forward and get everything together on time.

    Student Picture

    Jill Tulane University ‘16, Course Hero Intern