0x01 思路(原理)

  驱动层文件保护的思路是通过minifilter过滤文件删除相关的IRP,并将目标文件与被保护文件相比较,命中保护规则的话返回STATUS_ACCESS_DENIED拒绝访问;也可以进一步利用回调函数获取的FLT_CALLBACK_DATA结构体解析文件删除操作对应的发起者进程,与白名单进程(允许执行删除操作的进程)相比较。

  需要过滤的IRP类型:IRP_MJ_SET_INFORMATION与IRP_MJ_CREATE(或还有其他类型IRP需要过滤,尚未知)

IRP_MJ_SET_INFORMATION的产生原因一般是请求设置文件属性等等,比如ZwSetInformationFile函数可以发起此IRP.这里顺带说一句的是,许多驱动都用ZwSetInformationFile函数来实现强删文件的,比如腾讯电脑管家中的TSSysKit.sys驱动中文件穿透操作的删除文件就是调用ZwSetInformationFile函数将FileInformationClass设为FileDispositionInformation且((PFILE_DISPOSITION_INFORMATION)Irp->AssociatedIrp.SystemBuffer)->DeleteFile设为TRUE来达到删除文件的目的(如果是强删正在运行的文件,那么还需将文件对象的SectionObjectPointer->ImageSectionObject和 SectionObjectPointer->DataSectionObject 两个字段置零)。因此,对于IRP_MJ_SET_INFORMATION,应当检查FileInformationClass是否是FileRenameInformation和FileShortNameInformation标志。

  IRP_MJ_CREATE的产生原因一般是请求打开文件句柄,文件对象以及其他内核对象等等,比如ZwCreateFile函数可以发起此IRP.如果ZwCreateFile函数指定了FILE_DELETE_ON_CLOSE标志,那么当最后一个文件句柄被NtClose关闭时,文件会被删除,这也就是过滤IRP_MJ_CREATE的原因。因此,对于IRP_MJ_CREATE,应当检查是否有FILE_DELETE_ON_CLOSE 标志指定。

0x01 源码及注释如下

 #include <fltKernel.h>

 //#include "FileDeleteProtect.h"

 #define DEBUG

 #ifdef DEBUG

 #define DBG_PRINTF(_fmt, ...) DbgPrint(_fmt, __VA_ARGS__)

 #else

 #define DBG_PRINTF(_fmt, ...) { NOTHING; }

 #endif

 DRIVER_INITIALIZE DriverEntry;

 NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT DriverObject, _In_ PUNICODE_STRING RegistryPath);

 NTSTATUS Unload(_In_ FLT_FILTER_UNLOAD_FLAGS Flags);

 FLT_PREOP_CALLBACK_STATUS PreAntiDelete(_Inout_ PFLT_CALLBACK_DATA Data, _In_ PCFLT_RELATED_OBJECTS FltObjects, _Flt_CompletionContext_Outptr_ PVOID *CompletionContext);

 //过滤IRP的回调数组

 CONST FLT_OPERATION_REGISTRATION Callbacks[] = {

     { IRP_MJ_CREATE, , PreAntiDelete, NULL },                // DELETE_ON_CLOSE 标志.

     { IRP_MJ_SET_INFORMATION, , PreAntiDelete, NULL },        // FileDispositionInformation(Ex).

     { IRP_MJ_OPERATION_END }

 };

 CONST FLT_REGISTRATION FilterRegistration = {

     sizeof(FLT_REGISTRATION),                // Size

     FLT_REGISTRATION_VERSION,                // Version

     ,                                        // Flags

     NULL,                                    // ContextRegistration

     Callbacks,                                // OperationRegistration

     Unload,                                    // FilterUnloadCallback

     NULL,                                    // InstanceSetupCallback

     NULL,                                    // InstanceQueryTeardownCallback

     NULL,                                    // InstanceTeardownStartCallback

     NULL,                                    // InstanceTeardownCompleteCallback

     NULL,                                    // GenerateFileNameCallback

     NULL,                                    // NormalizeNameComponentCallback

     NULL                                    // NormalizeContextCleanupCallback

 };

 PFLT_FILTER Filter;

 static UNICODE_STRING Protected = RTL_CONSTANT_STRING(L"EXE");

 NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT DriverObject, _In_ PUNICODE_STRING RegistryPath) {

     UNREFERENCED_PARAMETER(RegistryPath);

     NTSTATUS Status = FltRegisterFilter(DriverObject, &FilterRegistration, &Filter);

     if (!NT_SUCCESS(Status)) {

         DBG_PRINTF("Failed to register filter: <0x%08x>.\n", Status);

         return Status;

     }

     Status = FltStartFiltering(Filter);

     if (!NT_SUCCESS(Status)) {

         DBG_PRINTF("Failed to start filter: <0x%08x>.\n", Status);

         FltUnregisterFilter(Filter);

     }

     return Status;

 }

 NTSTATUS Unload(_In_ FLT_FILTER_UNLOAD_FLAGS Flags) {

     UNREFERENCED_PARAMETER(Flags);

     DBG_PRINTF("Unload called.\n");

     FltUnregisterFilter(Filter);

     return STATUS_SUCCESS;

 }

 /*

 * PreCallback的调用时机

 * IRP_MJ_CREATE——ZwCreateFile

 * IRP_MJ_SET_INFORMATION——ZwSetInformation.

 */

 FLT_PREOP_CALLBACK_STATUS PreAntiDelete(_Inout_ PFLT_CALLBACK_DATA Data, _In_ PCFLT_RELATED_OBJECTS FltObjects, _Flt_CompletionContext_Outptr_ PVOID *CompletionContext) {

     UNREFERENCED_PARAMETER(CompletionContext);

     PAGED_CODE();//PreCallback的IRQL应当<= APC_LEVEL

     FLT_PREOP_CALLBACK_STATUS Status = FLT_PREOP_SUCCESS_NO_CALLBACK;//不再调用postoperation callback routine,

     BOOLEAN IsDirectory;//目录操作跳过,不管

     NTSTATUS status = FltIsDirectory(FltObjects->FileObject, FltObjects->Instance, &IsDirectory);

     if (NT_SUCCESS(status)) {

         if (IsDirectory == TRUE) {

             return Status;

         }

     }

     if (Data->Iopb->MajorFunction == IRP_MJ_CREATE) {

         if (!FlagOn(Data->Iopb->Parameters.Create.Options, FILE_DELETE_ON_CLOSE)) {

             return Status;

         }

     }

     if (Data->Iopb->MajorFunction == IRP_MJ_SET_INFORMATION) {

         switch (Data->Iopb->Parameters.SetFileInformation.FileInformationClass) {

         case FileRenameInformation:

         case FileRenameInformationEx:

         case FileDispositionInformation:

         case FileDispositionInformationEx:

         case FileRenameInformationBypassAccessCheck:

         case FileRenameInformationExBypassAccessCheck:

         case FileShortNameInformation:

             break;

         default:

             return Status;

         }

     }

     /*

     ZwCreateFile和ZwSetInformation函数都是运行在PASSIVE_LEVEL的,所以当前的线程上下文

     应当就是ZwCreateFile或ZwSetInformation函数的调用者进程对应的线程的上下文Context,

     所以这里可以判断调用者进程是否在白名单中(如果存在白名单进程的话)

     if (IoThreadToProcess(Data->Thread) == WhiteListProcess) {

     return FLT_PREOP_SUCCESS_NO_CALLBACK;

     }

     */

     PFLT_FILE_NAME_INFORMATION FileNameInfo = NULL;

     if (FltObjects->FileObject != NULL) {

         status = FltGetFileNameInformation(Data, FLT_FILE_NAME_NORMALIZED | FLT_FILE_NAME_QUERY_DEFAULT, &FileNameInfo);

         if (NT_SUCCESS(status)) {

             FltParseFileNameInformation(FileNameInfo);

             //if (RtlCompareUnicodeString(&FileNameInfo->Name, &Protected, TRUE) == 0) {

             if (RtlCompareUnicodeString(&FileNameInfo->Extension, &Protected, TRUE) == ) {

                 DBG_PRINTF("Protecting file deletion/rename!");

                 Data->IoStatus.Status = STATUS_ACCESS_DENIED;

                 Data->IoStatus.Information = ;

                 Status = FLT_PREOP_COMPLETE;

             }

             // Clean up file name information.

             FltReleaseFileNameInformation(FileNameInfo);

         }

     }

     return Status;

 }

文件防删除保护(miniifiter)的更多相关文章

  1. 简单HOOK SSDT实现文件防删除

    http://www.rosoo.net/a/201001/8347.html

  2. Git学习笔记(3)——撤销修改和文件的删除

    本文主要记录了git中,错误的撤销和文件的删除. 撤销修改 这里有3中情况 改乱了工作区某个文件的内容,想直接丢弃工作区的修改时,用命令git checkout -- file. 不但改乱了工作区某个 ...

  3. LINUX运维实战案例之文件已删除但空间不释放问题的分析与解决办法

    1.错误现象 运维的监控系统发来通知,报告一台服务器空间满了,登陆服务器查看,根分区确实没有空间了,如下图所示: 这里首先说明一下服务器的一些删除策略,由于Linux没有回收站功能,我们的线上服务器所 ...

  4. [WinAPI] API 9 [文件的删除、复制和移动功能]

    Windows系统为文件的删除.复制.重命名或移动文件提供了相应的API函数.删除文件使用DeleteFile函数:复制文件使用CopyFile函数:重命名文件和移动文件实际是一个操作,使用MoveF ...

  5. Linux大文件已删除,但df查看已使用的空间并未减少解决

    在我的生活当中遇到磁盘快满了,这时候准备去删除一些大文件 于是我使用ncdu 查看了一下当前系统占用资源比较多的是那些文件,结果一看是elasticsearch的日志文件,好吧,竟然找到源头了,那就把 ...

  6. Mac下关于——你不能拷贝项目“”,因为它的名称太长或包括的字符在目的宗卷上无效。文件的删除

    内容是google的,测试有效,因为用revel打包的东西删除以后有这个循环bug Mac下关于——你不能拷贝项目“”,因为它的名称太长或包括的字符在目的宗卷上无效.文件的删除 关于这个问题我找到的一 ...

  7. DLL文件无法删除怎么解决

    dll文件你听说过吗?那怎样把那些删不掉的东西删掉呢?请看.... 老听网友说某某文件删不掉啊.之类的.而且有很多都是dll文件.删除的时候总是提示,"正在使用"或者是" ...

  8. C#结合js 上传文件和删除文件(技术点有:asp.net mvc ,nhibernate,ajax等)

    之前做项目的时候要用到上传文件的功能,现在我总结一下,上传文件和删除文件的代码,在以后的使用的过程中也更方便查找. [HttpPost] public ActionResult EditUser() ...

  9. ASP FSO操作文件(复制文件、重命名文件、删除文件、替换字符串)

    ASP FSO操作文件(复制文件.重命名文件.删除文件.替换字符串)FSO的意思是FileSystemObject,即文件系统对象.FSO对象模型包含在Scripting 类型库 (Scrrun.Dl ...

随机推荐

  1. linux服务基础之DNS正反向解析、主从同步、子域授权及视图

    关键词: 正向解析 反向解析 主从复制 自域授权 视图 一.DNS基本原理 1.1 什么是DNS?BIND又是什么? DNS:Domain Name Service,它是一个基于应用层的协议,是C/S ...

  2. CF 528D. Fuzzy Search NTT

    CF 528D. Fuzzy Search NTT 题目大意 给出文本串S和模式串T和k,S,T为DNA序列(只含ATGC).对于S中的每个位置\(i\),只要中[i-k,i+k]有一个位置匹配了字符 ...

  3. python from entry to abandon4

    python from entry to abandon系列的收官之作    本篇博客将会介绍<简明Python教程>的最后四章内容.并在最后附上对于本书的个人评价和下阶段自学Python ...

  4. react native 0.55.4 rctsrwebsocket会崩溃的问题解决 直接原文覆盖

    //// Copyright 2012 Square Inc.//// Licensed under the Apache License, Version 2.0 (the "Licens ...

  5. 2019 To do List

    做好测试不是靠编程,而是靠的是严禁的作风,慎密的逻辑思维,适合的测试流程. 内心有些迷茫的时候,迷茫的是作为测试既然要学那么多编程,为什么不直接去干开发呢?学了编程,用不上,到底有什么用呢? 看了这句 ...

  6. 如何在开发过程中获取客户端的ip呢?

    在开发工作中,我们常常需要获取客户端的IP.一般获取客户端的IP地址的方法是:request.getRemoteAddr();但是在通过了Apache,Squid等反向代理软件就不能获取到客户端的真实 ...

  7. git checkout branch

    git fetch origin feature/banch1:feature/banch1 git checkout feature/banch1 git branch -u origin/feat ...

  8. PDO设置字符集

    <?php header("content-type:text/html;charset=GBK"); class CurlClass { protected $_pdo; ...

  9. Xshell利用lrzsz工具上传下载

    直接安装这个lrzsz工具 yum install lrzsz 上传 rz 下载 sz

  10. leetcode 78,236,300

    ---恢复内容开始--- 2018.3.16目前已刷27题,打卡记录有意思的题目. leetcode78 subsets 思路1:DFS遍历子集,每遇到一个数就把该数加上原来的子集变成新的子集. cl ...