用户修改后如何使用旧驱动程序中的 PE 标头获取原始文件类型

Question

我开发了一个传统驱动程序来允许和阻止特定文件从硬盘传输到外部设备。 这工作正常。

我面临的问题是，用户可以在这里修改文件名和文件类型。

如何找到用户修改的原始文件类型和文件名？

是否可以使用可移植的可执行文件头找到原始文件类型？

（文件类型例如 .pdf、.txt）

在我的研究中，我发现他们能够找到原始文件类型。他们如何找到原始文件类型。 “ http://checkfiletype.com/ ”也做了类似的事情

提前致谢。 您能否为此提供任何解决方案。

Answer 1

这个游戏有个名字。

游戏名称为“后移者胜”

我很乐意通过 base85 编码来过滤文件，并将其作为允许类型的内容删除。

您的用户无疑会想出其他聪明的方法。

现在，如果您这样做是为了控制病毒，我会说只是检查文件内容，如果它看起来像一个可执行文件，请说不。 可执行文件的前两个字符始终为 MZ。