MINIFILTER(文件保护)

使用 HOOK 来监控文件操作的方法有很多,可以在 SSDT 上 HOOK 一堆和 FILE 有关的函数,也可以对 FSD 进行 IRP HOOK,不过这些方法既不方便,也不安全。微软推荐的文件操作过滤方法是使用过滤驱动,在 VISTA 之后,推荐使用 MINIFILTER (字面翻译是迷你过滤器)。MINIFILTER 基于标准的文件过滤驱动,但是微软把它封装得很好,使得大家不用注意太多细节,而专注于对 IRP 的过滤。

之前一直在看一些细节和各种配置文件设置,最后发现如果用VS当IDE的话直接就自动生成模板了。先说下创建一个MiniFilter驱动项目:

然后他会自动生成一个模板文件:

我们只需要在上面改东西就行了,贼方便。

编译之后会有两个文件:

***.sys 和 ***.inf  把inf拷贝到相关虚拟机上右键安装就行了。

安装之后会生成类似如下注册表:

OK这样一个基本的MiniFilter驱动就安装上了。

然后在cmd里对这个驱动的操作和服务是一样的(但是注意这个不是服务,在服务里查不到)

Sc start MyMiniFilter     开始

Sc stop MyMiniFilter     停止

Sc Delete MyMiniFilter   删除(删除后记得自己清理system32/drivers\**.sys这个文件)

下面说下这个框架的细节:

创建这个项目之后,模板已经被自动创建好了,里面也有很多注释。要自己看下,这里就说几点关键:

CONST FLT_OPERATION_REGISTRATION Callbacks[] = {

{ IRP_MJ_WRITE,

0,

MinifilterPreOperation,

MinifilterPostOperation },

#if 0 // TODO - List all of the requests to filter.

    { IRP_MJ_CREATE,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_CREATE_NAMED_PIPE,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_CLOSE,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_READ,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_QUERY_INFORMATION,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_SET_INFORMATION,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_QUERY_EA,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_SET_EA,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_FLUSH_BUFFERS,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_QUERY_VOLUME_INFORMATION,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_SET_VOLUME_INFORMATION,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_DIRECTORY_CONTROL,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_FILE_SYSTEM_CONTROL,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_DEVICE_CONTROL,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_INTERNAL_DEVICE_CONTROL,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_SHUTDOWN,

      0,

      MinifilterPreOperationNoPostOperation,

      NULL },                               //post operations not supported

    { IRP_MJ_LOCK_CONTROL,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_CLEANUP,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_CREATE_MAILSLOT,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_QUERY_SECURITY,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_SET_SECURITY,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_QUERY_QUOTA,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_SET_QUOTA,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

.....

上面的东西就是设置开启哪些回调函数(所有回调函数格式一样),Pre是之前的意思,Post是之后的意思。默认的模板是用的if 0给全都关闭了。我是开启了 写 的权限进行测试:

回调函数代码如下(保护xxxx.txt文件):

FLT_PREOP_CALLBACK_STATUS

MinifilterPreOperation (

    _Inout_ PFLT_CALLBACK_DATA Data,

    _In_ PCFLT_RELATED_OBJECTS FltObjects,

    _Flt_CompletionContext_Outptr_ PVOID *CompletionContext

    )

{

UNREFERENCED_PARAMETER(FltObjects);

UNREFERENCED_PARAMETER(CompletionContext);

PAGED_CODE();

{

PFLT_FILE_NAME_INFORMATION nameInfo;

//直接获得文件名并检查

if (NT_SUCCESS(FltGetFileNameInformation(Data, FLT_FILE_NAME_NORMALIZED | FLT_FILE_NAME_QUERY_DEFAULT, &nameInfo)))

{

if (NT_SUCCESS(FltParseFileNameInformation(nameInfo)))

{

WCHAR pTempBuf[512] = { 0 };

WCHAR *pNonPageBuf = NULL, *pTemp = pTempBuf;

if (nameInfo->Name.MaximumLength > 512)

{

pNonPageBuf = ExAllocatePool(NonPagedPool, nameInfo->Name.MaximumLength);

pTemp = pNonPageBuf;

}

RtlCopyMemory(pTemp, nameInfo->Name.Buffer, nameInfo->Name.MaximumLength);

DbgPrint("[MiniFilter][IRP_MJ_WRITE]%wZ", &nameInfo->Name);

_wcsupr(pTemp);

if (NULL != wcsstr(pTemp, L"xxxx.txt"))  /

{

if (NULL != pNonPageBuf)

ExFreePool(pNonPageBuf);

FltReleaseFileNameInformation(nameInfo);

return FLT_PREOP_DISALLOW_FASTIO;

}

if (NULL != pNonPageBuf)

ExFreePool(pNonPageBuf);

}

FltReleaseFileNameInformation(nameInfo);

}

}

return FLT_PREOP_SUCCESS_NO_CALLBACK;}

执行效果如下:

Win64 驱动内核编程-17. MINIFILTER(文件保护)的更多相关文章

  1. Win64 驱动内核编程-3.内核里使用内存

    内核里使用内存 内存使用,无非就是申请.复制.设置.释放.在 C 语言里,它们对应的函数是:malloc.memcpy.memset.free:在内核编程里,他们分别对应 ExAllocatePool ...

  2. Win64 驱动内核编程-8.内核里的其他常用

    内核里的其他常用 1.遍历链表.内核里有很多数据结构,但它们并不是孤立的,内核使用双向链表把它们像糖 葫芦一样给串了起来.所以遍历双向链表能获得很多重要的内核数据.举个简单的例子,驱 动对象 Driv ...

  3. Win64 驱动内核编程-7.内核里操作进程

    在内核里操作进程 在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点.但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程 ...

  4. Win64 驱动内核编程-2.基本框架(安装.通讯.HelloWorld)

    驱动安装,通讯,Hello World 开发驱动的简单流程是这样,开发驱动安装程序,开发驱动程序,然后安装程序(或者其他程序)通过通讯给驱动传命令,驱动接到之后进行解析并且执行,然后把执行结果返回. ...

  5. Win64 驱动内核编程-18.SSDT

    SSDT 学习资料:http://blog.csdn.net/zfdyq0/article/details/26515019 学习资料:WIN64内核编程基础 胡文亮 SSDT(系统服务描述表),刚开 ...

  6. Win64 驱动内核编程-34.对抗与枚举MiniFilter

    对抗与枚举MiniFilter MiniFilter 是目前杀毒软件用来实现"文件系统自我保护"和"文件实时监控"的方法. 由于 MiniFilter 模型简单 ...

  7. Win64 驱动内核编程-11.回调监控进线程句柄操作

    无HOOK监控进线程句柄操作 在 NT5 平台下,要监控进线程句柄的操作. 通常要挂钩三个API:NtOpenProcess.NtOpenThread.NtDuplicateObject.但是在 VI ...

  8. Win64 驱动内核编程-10.突破WIN7的PatchGuard

    突破WIN7的PatchGuard WIN64 有两个内核保护机制,KPP 和 DSE.KPP 阻止我们 PATCH 内核,DSE 拦截我们加载驱动.当然 KPP 和 DSE 并不是不可战胜的,WIN ...

  9. Win64 驱动内核编程-25.X64枚举和隐藏内核模块

    X64枚举和隐藏内核模块 在 WIN64 上枚举内核模块的人方法:使用 ZwQuerySystemInformation 的第 11 号功能和枚举 KLDR_DATA_TABLE_ENTRY 中的 I ...

随机推荐

  1. 反射的常用API

    反射的常用API 加载程序集 Assembly assembly = Assembly.Load("程序集名称"); // 从前目录加载程序集,提供程序集名称,无后缀 Assemb ...

  2. CVE-2016-5734-phpmyadmin-4.0.x-4.6.2-代码执行

    参考 https://www.jianshu.com/p/8e44cb1b5b5b 漏洞原因 phpMyAdmin是一套开源的.基于Web的MySQL数据库管理工具.在其查找并替换字符串功能中,将用户 ...

  3. xss和实体编码的一点小思考

    首先,浏览器渲染分以下几步: 解析HTML生成DOM树. 解析CSS生成CSSOM规则树. 将DOM树与CSSOM规则树合并在一起生成渲染树. 遍历渲染树开始布局,计算每个节点的位置大小信息. 将渲染 ...

  4. 趣谈 DHCP 协议,有点意思。

    计算机网络我也连载了很多篇了,大家可以在我的公众号「程序员cxuan」 或者我的 github 系统学习. 计算机网络第一篇,聊一聊网络基础 :计算机网络基础知识总结 计算机网络第二篇,聊一聊 TCP ...

  5. Codeforces Round #546 C. Nastya Is Transposing Matrices

    题面: 传送门 题目描述: 给出两个n x m的矩阵A,B.矩阵A可以把正方子矩阵进行"转置操作",问:可不可以对矩阵A进行多次这样的操作,使矩阵A变为矩阵B?   题目分析: 这 ...

  6. 简单ping确定网络故障

    1.ping localhost (127.0.0.1) 目的:确定TCP/IP有无问题 2.ping本机地址 用来检测网卡驱动有无问题 如何获取本机地址? win+r cmd 输入ipconfig/ ...

  7. P1048_采药(JAVA语言)

    思路:动态规划的背包问题.把时间看作重量,转换为01背包问题求解. 题目描述 辰辰是个天资聪颖的孩子,他的梦想是成为世界上最伟大的医师.为此,他想拜附近最有威望的医师为师.医师为了判断他的资质,给他出 ...

  8. 冒泡排序(BubbleSort)

    介绍: 冒泡排序是一种最基础的交换排序(两两比较待排序的关键字,交换不满足次序要求的那对数,直到整个表都满足次序要求为止),工作方式如同碳酸饮料中的二氧化碳气泡最终会上浮到顶端一样,故名"冒 ...

  9. bootstrap期末考试习题整理

    1.Which is true about Bootstrap? A. Bootstrap is the most popular and powerful front-end (HTML, CSS, ...

  10. Spring IOC 特性有哪些,不会读不懂源码!

    作者:小傅哥 博客:https://bugstack.cn 沉淀.分享.成长,让自己和他人都能有所收获! 一.前言 多线程.锁.JVM调优,都背出花啦,怎么一写代码还是乱糟糟? 为什么这些无论从书本. ...