MINIFILTER(文件保护)

使用 HOOK 来监控文件操作的方法有很多,可以在 SSDT 上 HOOK 一堆和 FILE 有关的函数,也可以对 FSD 进行 IRP HOOK,不过这些方法既不方便,也不安全。微软推荐的文件操作过滤方法是使用过滤驱动,在 VISTA 之后,推荐使用 MINIFILTER (字面翻译是迷你过滤器)。MINIFILTER 基于标准的文件过滤驱动,但是微软把它封装得很好,使得大家不用注意太多细节,而专注于对 IRP 的过滤。

之前一直在看一些细节和各种配置文件设置,最后发现如果用VS当IDE的话直接就自动生成模板了。先说下创建一个MiniFilter驱动项目:

然后他会自动生成一个模板文件:

我们只需要在上面改东西就行了,贼方便。

编译之后会有两个文件:

***.sys 和 ***.inf  把inf拷贝到相关虚拟机上右键安装就行了。

安装之后会生成类似如下注册表:

OK这样一个基本的MiniFilter驱动就安装上了。

然后在cmd里对这个驱动的操作和服务是一样的(但是注意这个不是服务,在服务里查不到)

Sc start MyMiniFilter     开始

Sc stop MyMiniFilter     停止

Sc Delete MyMiniFilter   删除(删除后记得自己清理system32/drivers\**.sys这个文件)

下面说下这个框架的细节:

创建这个项目之后,模板已经被自动创建好了,里面也有很多注释。要自己看下,这里就说几点关键:

CONST FLT_OPERATION_REGISTRATION Callbacks[] = {

{ IRP_MJ_WRITE,

0,

MinifilterPreOperation,

MinifilterPostOperation },

#if 0 // TODO - List all of the requests to filter.

    { IRP_MJ_CREATE,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_CREATE_NAMED_PIPE,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_CLOSE,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_READ,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_QUERY_INFORMATION,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_SET_INFORMATION,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_QUERY_EA,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_SET_EA,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_FLUSH_BUFFERS,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_QUERY_VOLUME_INFORMATION,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_SET_VOLUME_INFORMATION,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_DIRECTORY_CONTROL,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_FILE_SYSTEM_CONTROL,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_DEVICE_CONTROL,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_INTERNAL_DEVICE_CONTROL,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_SHUTDOWN,

      0,

      MinifilterPreOperationNoPostOperation,

      NULL },                               //post operations not supported

    { IRP_MJ_LOCK_CONTROL,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_CLEANUP,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_CREATE_MAILSLOT,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_QUERY_SECURITY,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_SET_SECURITY,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_QUERY_QUOTA,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

    { IRP_MJ_SET_QUOTA,

      0,

      MinifilterPreOperation,

      MinifilterPostOperation },

.....

上面的东西就是设置开启哪些回调函数(所有回调函数格式一样),Pre是之前的意思,Post是之后的意思。默认的模板是用的if 0给全都关闭了。我是开启了 写 的权限进行测试:

回调函数代码如下(保护xxxx.txt文件):

FLT_PREOP_CALLBACK_STATUS

MinifilterPreOperation (

    _Inout_ PFLT_CALLBACK_DATA Data,

    _In_ PCFLT_RELATED_OBJECTS FltObjects,

    _Flt_CompletionContext_Outptr_ PVOID *CompletionContext

    )

{

UNREFERENCED_PARAMETER(FltObjects);

UNREFERENCED_PARAMETER(CompletionContext);

PAGED_CODE();

{

PFLT_FILE_NAME_INFORMATION nameInfo;

//直接获得文件名并检查

if (NT_SUCCESS(FltGetFileNameInformation(Data, FLT_FILE_NAME_NORMALIZED | FLT_FILE_NAME_QUERY_DEFAULT, &nameInfo)))

{

if (NT_SUCCESS(FltParseFileNameInformation(nameInfo)))

{

WCHAR pTempBuf[512] = { 0 };

WCHAR *pNonPageBuf = NULL, *pTemp = pTempBuf;

if (nameInfo->Name.MaximumLength > 512)

{

pNonPageBuf = ExAllocatePool(NonPagedPool, nameInfo->Name.MaximumLength);

pTemp = pNonPageBuf;

}

RtlCopyMemory(pTemp, nameInfo->Name.Buffer, nameInfo->Name.MaximumLength);

DbgPrint("[MiniFilter][IRP_MJ_WRITE]%wZ", &nameInfo->Name);

_wcsupr(pTemp);

if (NULL != wcsstr(pTemp, L"xxxx.txt"))  /

{

if (NULL != pNonPageBuf)

ExFreePool(pNonPageBuf);

FltReleaseFileNameInformation(nameInfo);

return FLT_PREOP_DISALLOW_FASTIO;

}

if (NULL != pNonPageBuf)

ExFreePool(pNonPageBuf);

}

FltReleaseFileNameInformation(nameInfo);

}

}

return FLT_PREOP_SUCCESS_NO_CALLBACK;}

执行效果如下:

Win64 驱动内核编程-17. MINIFILTER(文件保护)的更多相关文章

  1. Win64 驱动内核编程-3.内核里使用内存

    内核里使用内存 内存使用,无非就是申请.复制.设置.释放.在 C 语言里,它们对应的函数是:malloc.memcpy.memset.free:在内核编程里,他们分别对应 ExAllocatePool ...

  2. Win64 驱动内核编程-8.内核里的其他常用

    内核里的其他常用 1.遍历链表.内核里有很多数据结构,但它们并不是孤立的,内核使用双向链表把它们像糖 葫芦一样给串了起来.所以遍历双向链表能获得很多重要的内核数据.举个简单的例子,驱 动对象 Driv ...

  3. Win64 驱动内核编程-7.内核里操作进程

    在内核里操作进程 在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点.但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个和进程 ...

  4. Win64 驱动内核编程-2.基本框架(安装.通讯.HelloWorld)

    驱动安装,通讯,Hello World 开发驱动的简单流程是这样,开发驱动安装程序,开发驱动程序,然后安装程序(或者其他程序)通过通讯给驱动传命令,驱动接到之后进行解析并且执行,然后把执行结果返回. ...

  5. Win64 驱动内核编程-18.SSDT

    SSDT 学习资料:http://blog.csdn.net/zfdyq0/article/details/26515019 学习资料:WIN64内核编程基础 胡文亮 SSDT(系统服务描述表),刚开 ...

  6. Win64 驱动内核编程-34.对抗与枚举MiniFilter

    对抗与枚举MiniFilter MiniFilter 是目前杀毒软件用来实现"文件系统自我保护"和"文件实时监控"的方法. 由于 MiniFilter 模型简单 ...

  7. Win64 驱动内核编程-11.回调监控进线程句柄操作

    无HOOK监控进线程句柄操作 在 NT5 平台下,要监控进线程句柄的操作. 通常要挂钩三个API:NtOpenProcess.NtOpenThread.NtDuplicateObject.但是在 VI ...

  8. Win64 驱动内核编程-10.突破WIN7的PatchGuard

    突破WIN7的PatchGuard WIN64 有两个内核保护机制,KPP 和 DSE.KPP 阻止我们 PATCH 内核,DSE 拦截我们加载驱动.当然 KPP 和 DSE 并不是不可战胜的,WIN ...

  9. Win64 驱动内核编程-25.X64枚举和隐藏内核模块

    X64枚举和隐藏内核模块 在 WIN64 上枚举内核模块的人方法:使用 ZwQuerySystemInformation 的第 11 号功能和枚举 KLDR_DATA_TABLE_ENTRY 中的 I ...

随机推荐

  1. 漏洞复现-fastjson1.2.24-RCE

              0x00 实验环境 攻击机:Win 10.Win Server2012 R2(公网环境,恶意java文件所在服务器) 靶机也可作为攻击机:Ubuntu18 (公网环境,docker ...

  2. 如何获取下载 FreeBSD

    『如何获取下载 FreeBSD 』 『如何获取下载 FreeBSD 』 FreeBSD 是免费获取的. [下载地址] O网页链接 版本选择,尽量选择较新版本,桌面用户可选择 current 版本.st ...

  3. 任务3 PHP配置 1. PHP基础配置

    查看PHP配置文件得位置 #/ucsr/local/php/bin/php -i |grep -i "loaded configuration file" # cp /usr/lo ...

  4. LZZ高级程序语言设计之多重for循环

    public class Mq { public static void main(String args[]) { System.out.println("到底去还是不去呢?") ...

  5. Windows包管理器——Scoop 包管理器

    Scoop 包管理器 目录 Scoop 包管理器 参考 官方 博客 声明 目录 scoop 安装&&卸载 安装( 使用 powershell) 卸载(软件的使用权归自己所有,一言不合即 ...

  6. 海岸线、科赫曲线、turtle、递归

    本章绘图要点: turtle模块:python标准库自带的一个模块,可用来绘制二维图形.该模块封装了底层的数据处理逻辑,向外提供了更符合手工绘图习惯的接口函数,适用于绘制对质量.精度要求不高的图形. ...

  7. 实验: survivor放不下的对象进入老年代

    实验一: 存活对象包含 小于survivor大小的对象 + 大于survivor的对象 private static final Integer _1MB = 1024 * 1024; /** * - ...

  8. P1036_选数(JAVA语言)

    题目描述 已知 n 个整数x1​,x2​,-,xn​,以及1个整数k(k<n).从n个整数中任选k个整数相加,可分别得到一系列的和.例如当n=4,k=3,4个整数分别为3,7,12,19时,可得 ...

  9. 通俗地理解面向服务的架构(SOA)以及微服务之间的关系

    SOA是一种软件的应用架构方法,它基于面向对象,但又不是面向对象,整体上是面向服务的架构.SOA由精确的服务定义.松散的构件服务组成,以及业务流程调用等多个方面形成的一整套架构方法. 这话是不是听起来 ...

  10. Python基础之告警定义与告警抑制

    技术背景 在前面一篇博客中我们介绍了在python中自定义异常以及异常的捕获.这里我们要介绍另外一种形式的用户提醒:告警.我们这里就不给出一些过于官方或者技术的定义了,在实际项目中的使用场景主要有这么 ...