MINIFILTER(文件保护)

使用 HOOK 来监控文件操作的方法有很多,可以在 SSDT 上 HOOK 一堆和 FILE 有关的函数,也可以对 FSD 进行 IRP HOOK,不过这些方法既不方便,也不安全。微软推荐的文件操作过滤方法是使用过滤驱动,在 VISTA 之后,推荐使用 MINIFILTER (字面翻译是迷你过滤器)。MINIFILTER 基于标准的文件过滤驱动,但是微软把它封装得很好,使得大家不用注意太多细节,而专注于对 IRP 的过滤。

之前一直在看一些细节和各种配置文件设置,最后发现如果用VS当IDE的话直接就自动生成模板了。先说下创建一个MiniFilter驱动项目:

然后他会自动生成一个模板文件:

我们只需要在上面改东西就行了,贼方便。

编译之后会有两个文件:

***.sys 和 ***.inf  把inf拷贝到相关虚拟机上右键安装就行了。

安装之后会生成类似如下注册表:

OK这样一个基本的MiniFilter驱动就安装上了。

然后在cmd里对这个驱动的操作和服务是一样的(但是注意这个不是服务,在服务里查不到)

Sc start MyMiniFilter     开始

Sc stop MyMiniFilter     停止

Sc Delete MyMiniFilter   删除(删除后记得自己清理system32/drivers\**.sys这个文件)

下面说下这个框架的细节:

创建这个项目之后,模板已经被自动创建好了,里面也有很多注释。要自己看下,这里就说几点关键:

CONST FLT_OPERATION_REGISTRATION Callbacks[] = {

{ IRP_MJ_WRITE,

0,

MinifilterPreOperation,

MinifilterPostOperation },

#if 0 // TODO - List all of the requests to filter.

    { IRP_MJ_CREATE,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_CREATE_NAMED_PIPE,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_CLOSE,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_READ,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_QUERY_INFORMATION,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_SET_INFORMATION,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_QUERY_EA,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_SET_EA,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_FLUSH_BUFFERS,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_QUERY_VOLUME_INFORMATION,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_SET_VOLUME_INFORMATION,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_DIRECTORY_CONTROL,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_FILE_SYSTEM_CONTROL,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_DEVICE_CONTROL,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_INTERNAL_DEVICE_CONTROL,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_SHUTDOWN,

      0,

      MinifilterPreOperationNoPostOperation,

      NULL },                               //post operations not supported

    { IRP_MJ_LOCK_CONTROL,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_CLEANUP,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_CREATE_MAILSLOT,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_QUERY_SECURITY,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_SET_SECURITY,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_QUERY_QUOTA,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_SET_QUOTA,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

.....

上面的东西就是设置开启哪些回调函数(所有回调函数格式一样),Pre是之前的意思,Post是之后的意思。默认的模板是用的if 0给全都关闭了。我是开启了 写 的权限进行测试:

回调函数代码如下(保护xxxx.txt文件):

FLT_PREOP_CALLBACK_STATUS

MinifilterPreOperation (

    _Inout_ PFLT_CALLBACK_DATA Data,

    _In_ PCFLT_RELATED_OBJECTS FltObjects,

    _Flt_CompletionContext_Outptr_ PVOID *CompletionContext

    )

{

UNREFERENCED_PARAMETER(FltObjects);

UNREFERENCED_PARAMETER(CompletionContext);

PAGED_CODE();

{

PFLT_FILE_NAME_INFORMATION nameInfo;

//直接获得文件名并检查

if (NT_SUCCESS(FltGetFileNameInformation(Data, FLT_FILE_NAME_NORMALIZED | FLT_FILE_NAME_QUERY_DEFAULT, &nameInfo)))

{

if (NT_SUCCESS(FltParseFileNameInformation(nameInfo)))

{

WCHAR pTempBuf[512] = { 0 };

WCHAR *pNonPageBuf = NULL, *pTemp = pTempBuf;

if (nameInfo->Name.MaximumLength > 512)

{

pNonPageBuf = ExAllocatePool(NonPagedPool, nameInfo->Name.MaximumLength);

pTemp = pNonPageBuf;

}

RtlCopyMemory(pTemp, nameInfo->Name.Buffer, nameInfo->Name.MaximumLength);

DbgPrint("[MiniFilter][IRP_MJ_WRITE]%wZ", &nameInfo->Name);

_wcsupr(pTemp);

if (NULL != wcsstr(pTemp, L"xxxx.txt"))  /

{

if (NULL != pNonPageBuf)

ExFreePool(pNonPageBuf);

FltReleaseFileNameInformation(nameInfo);

return FLT_PREOP_DISALLOW_FASTIO;

}

if (NULL != pNonPageBuf)

ExFreePool(pNonPageBuf);

}

FltReleaseFileNameInformation(nameInfo);

}

}

return FLT_PREOP_SUCCESS_NO_CALLBACK;}

执行效果如下:

Win64 驱动内核编程-17. MINIFILTER(文件保护)的更多相关文章

  1. Win64 驱动内核编程-3.内核里使用内存

    内核里使用内存 内存使用,无非就是申请.复制.设置.释放.在 C 语言里,它们对应的函数是:malloc.memcpy.memset.free:在内核编程里,他们分别对应 ExAllocatePool ...

  2. Win64 驱动内核编程-8.内核里的其他常用

    内核里的其他常用 1.遍历链表.内核里有很多数据结构,但它们并不是孤立的,内核使用双向链表把它们像糖 葫芦一样给串了起来.所以遍历双向链表能获得很多重要的内核数据.举个简单的例子,驱 动对象 Driv ...

  3. Win64 驱动内核编程-7.内核里操作进程

    在内核里操作进程 在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点.但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程 ...

  4. Win64 驱动内核编程-2.基本框架(安装.通讯.HelloWorld)

    驱动安装,通讯,Hello World 开发驱动的简单流程是这样,开发驱动安装程序,开发驱动程序,然后安装程序(或者其他程序)通过通讯给驱动传命令,驱动接到之后进行解析并且执行,然后把执行结果返回. ...

  5. Win64 驱动内核编程-18.SSDT

    SSDT 学习资料:http://blog.csdn.net/zfdyq0/article/details/26515019 学习资料:WIN64内核编程基础 胡文亮 SSDT(系统服务描述表),刚开 ...

  6. Win64 驱动内核编程-34.对抗与枚举MiniFilter

    对抗与枚举MiniFilter MiniFilter 是目前杀毒软件用来实现"文件系统自我保护"和"文件实时监控"的方法. 由于 MiniFilter 模型简单 ...

  7. Win64 驱动内核编程-11.回调监控进线程句柄操作

    无HOOK监控进线程句柄操作 在 NT5 平台下,要监控进线程句柄的操作. 通常要挂钩三个API:NtOpenProcess.NtOpenThread.NtDuplicateObject.但是在 VI ...

  8. Win64 驱动内核编程-10.突破WIN7的PatchGuard

    突破WIN7的PatchGuard WIN64 有两个内核保护机制,KPP 和 DSE.KPP 阻止我们 PATCH 内核,DSE 拦截我们加载驱动.当然 KPP 和 DSE 并不是不可战胜的,WIN ...

  9. Win64 驱动内核编程-25.X64枚举和隐藏内核模块

    X64枚举和隐藏内核模块 在 WIN64 上枚举内核模块的人方法:使用 ZwQuerySystemInformation 的第 11 号功能和枚举 KLDR_DATA_TABLE_ENTRY 中的 I ...

随机推荐

  1. C# 应用 - 多线程 1) 多线程的知识图谱

  2. Vue 插槽之插槽内容学习总结

    插槽内容使用方法介绍 父组件中引用支持插槽内容的子组件,形如以下(假设子组件为NavigationLink.vue) <navigation-link url="/profile&qu ...

  3. 2019 GDUT Rating Contest II : A. Taming the Herd

    题面: A. Taming the Herd Input file: standard input Output file: standard output Time limit: 1 second Me ...

  4. 叫练手把手教你读JVM之GC信息

    案例 众所周知,GC主要回收的是堆内存,堆内存中包含年轻代和老年代,年轻代分为Eden和Surivor,如下图所示.我们用案例分析下堆的GC信息[版本:HotSpot JDK1.8]. /** * @ ...

  5. EF Core3.0+ 通过拦截器实现读写分离与SQL日志记录

    前言 本文主要是讲解EF Core3.0+ 通过拦截器实现读写分离与SQL日志记录 注意拦截器只有EF Core3.0+ 支持,2.1请考虑上下文工厂的形式实现. 说点题外话.. 一晃又大半年没更新技 ...

  6. reverse ey-or

    ey-or 32c3ctf-2015 https://blukat29.github.io/2015/12/32c3ctf-ey_or/ mark, 好自闭呀,0.0 32C3_wE_kNoW_EvE ...

  7. [倍增]luogu P4155 [SCOI2015]国旗计划

    题面 https://www.luogu.com.cn/problem/P4155 问在环上最少取多少个区间能完全覆盖环 分析 首先发现是环,先把端点变为2n方便处理,注意离散化 其次要删去贡献不如其 ...

  8. 为了效率,我们可以用的招数 之 strlen

    如果要你写一个计算字符串长度的函数 strlen,应该怎么写?相信你很容易写出如下实现: 1 int strlen_1(const char* str) { 2 int cnt = 0; 3 4 if ...

  9. 此博客使用的CSS样式详解!

    此博客使用的CSS样式详解! 页面使用的博客园模板为:LuxInteriorLight,可以在博客皮肤里找到. 页首屏蔽广告代码 <script>console.log("顶部标 ...

  10. PAT A1052 Linked List Sorting

    题意:给出N个结点的地址address.数据域data以及指针域next,然后给出链表的首地址,要求把在这个链表上的结点按data值从小到大输出.样例解释:按照输入,这条链表是这样的(结点格式为[ad ...