0x01 思路(原理)

  驱动层文件保护的思路是通过minifilter过滤文件删除相关的IRP,并将目标文件与被保护文件相比较,命中保护规则的话返回STATUS_ACCESS_DENIED拒绝访问;也可以进一步利用回调函数获取的FLT_CALLBACK_DATA结构体解析文件删除操作对应的发起者进程,与白名单进程(允许执行删除操作的进程)相比较。

  需要过滤的IRP类型:IRP_MJ_SET_INFORMATION与IRP_MJ_CREATE(或还有其他类型IRP需要过滤,尚未知)

IRP_MJ_SET_INFORMATION的产生原因一般是请求设置文件属性等等,比如ZwSetInformationFile函数可以发起此IRP.这里顺带说一句的是,许多驱动都用ZwSetInformationFile函数来实现强删文件的,比如腾讯电脑管家中的TSSysKit.sys驱动中文件穿透操作的删除文件就是调用ZwSetInformationFile函数将FileInformationClass设为FileDispositionInformation且((PFILE_DISPOSITION_INFORMATION)Irp->AssociatedIrp.SystemBuffer)->DeleteFile设为TRUE来达到删除文件的目的(如果是强删正在运行的文件,那么还需将文件对象的SectionObjectPointer->ImageSectionObject和 SectionObjectPointer->DataSectionObject 两个字段置零)。因此,对于IRP_MJ_SET_INFORMATION,应当检查FileInformationClass是否是FileRenameInformation和FileShortNameInformation标志。

  IRP_MJ_CREATE的产生原因一般是请求打开文件句柄,文件对象以及其他内核对象等等,比如ZwCreateFile函数可以发起此IRP.如果ZwCreateFile函数指定了FILE_DELETE_ON_CLOSE标志,那么当最后一个文件句柄被NtClose关闭时,文件会被删除,这也就是过滤IRP_MJ_CREATE的原因。因此,对于IRP_MJ_CREATE,应当检查是否有FILE_DELETE_ON_CLOSE 标志指定。

0x01 源码及注释如下

 #include <fltKernel.h>

 //#include "FileDeleteProtect.h"

 #define DEBUG

 #ifdef DEBUG

 #define DBG_PRINTF(_fmt, ...) DbgPrint(_fmt, __VA_ARGS__)

 #else

 #define DBG_PRINTF(_fmt, ...) { NOTHING; }

 #endif

 DRIVER_INITIALIZE DriverEntry;

 NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT DriverObject, _In_ PUNICODE_STRING RegistryPath);

 NTSTATUS Unload(_In_ FLT_FILTER_UNLOAD_FLAGS Flags);

 FLT_PREOP_CALLBACK_STATUS PreAntiDelete(_Inout_ PFLT_CALLBACK_DATA Data, _In_ PCFLT_RELATED_OBJECTS FltObjects, _Flt_CompletionContext_Outptr_ PVOID *CompletionContext);

 //过滤IRP的回调数组

 CONST FLT_OPERATION_REGISTRATION Callbacks[] = {

     { IRP_MJ_CREATE, , PreAntiDelete, NULL },                // DELETE_ON_CLOSE 标志.

     { IRP_MJ_SET_INFORMATION, , PreAntiDelete, NULL },        // FileDispositionInformation(Ex).

     { IRP_MJ_OPERATION_END }

 };

 CONST FLT_REGISTRATION FilterRegistration = {

     sizeof(FLT_REGISTRATION),                // Size

     FLT_REGISTRATION_VERSION,                // Version

     ,                                        // Flags

     NULL,                                    // ContextRegistration

     Callbacks,                                // OperationRegistration

     Unload,                                    // FilterUnloadCallback

     NULL,                                    // InstanceSetupCallback

     NULL,                                    // InstanceQueryTeardownCallback

     NULL,                                    // InstanceTeardownStartCallback

     NULL,                                    // InstanceTeardownCompleteCallback

     NULL,                                    // GenerateFileNameCallback

     NULL,                                    // NormalizeNameComponentCallback

     NULL                                    // NormalizeContextCleanupCallback

 };

 PFLT_FILTER Filter;

 static UNICODE_STRING Protected = RTL_CONSTANT_STRING(L"EXE");

 NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT DriverObject, _In_ PUNICODE_STRING RegistryPath) {

     UNREFERENCED_PARAMETER(RegistryPath);

     NTSTATUS Status = FltRegisterFilter(DriverObject, &FilterRegistration, &Filter);

     if (!NT_SUCCESS(Status)) {

         DBG_PRINTF("Failed to register filter: <0x%08x>.\n", Status);

         return Status;

     }

     Status = FltStartFiltering(Filter);

     if (!NT_SUCCESS(Status)) {

         DBG_PRINTF("Failed to start filter: <0x%08x>.\n", Status);

         FltUnregisterFilter(Filter);

     }

     return Status;

 }

 NTSTATUS Unload(_In_ FLT_FILTER_UNLOAD_FLAGS Flags) {

     UNREFERENCED_PARAMETER(Flags);

     DBG_PRINTF("Unload called.\n");

     FltUnregisterFilter(Filter);

     return STATUS_SUCCESS;

 }

 /*

 * PreCallback的调用时机

 * IRP_MJ_CREATE——ZwCreateFile

 * IRP_MJ_SET_INFORMATION——ZwSetInformation.

 */

 FLT_PREOP_CALLBACK_STATUS PreAntiDelete(_Inout_ PFLT_CALLBACK_DATA Data, _In_ PCFLT_RELATED_OBJECTS FltObjects, _Flt_CompletionContext_Outptr_ PVOID *CompletionContext) {

     UNREFERENCED_PARAMETER(CompletionContext);

     PAGED_CODE();//PreCallback的IRQL应当<= APC_LEVEL

     FLT_PREOP_CALLBACK_STATUS Status = FLT_PREOP_SUCCESS_NO_CALLBACK;//不再调用postoperation callback routine,

     BOOLEAN IsDirectory;//目录操作跳过,不管

     NTSTATUS status = FltIsDirectory(FltObjects->FileObject, FltObjects->Instance, &IsDirectory);

     if (NT_SUCCESS(status)) {

         if (IsDirectory == TRUE) {

             return Status;

         }

     }

     if (Data->Iopb->MajorFunction == IRP_MJ_CREATE) {

         if (!FlagOn(Data->Iopb->Parameters.Create.Options, FILE_DELETE_ON_CLOSE)) {

             return Status;

         }

     }

     if (Data->Iopb->MajorFunction == IRP_MJ_SET_INFORMATION) {

         switch (Data->Iopb->Parameters.SetFileInformation.FileInformationClass) {

         case FileRenameInformation:

         case FileRenameInformationEx:

         case FileDispositionInformation:

         case FileDispositionInformationEx:

         case FileRenameInformationBypassAccessCheck:

         case FileRenameInformationExBypassAccessCheck:

         case FileShortNameInformation:

             break;

         default:

             return Status;

         }

     }

     /*

     ZwCreateFile和ZwSetInformation函数都是运行在PASSIVE_LEVEL的,所以当前的线程上下文

     应当就是ZwCreateFile或ZwSetInformation函数的调用者进程对应的线程的上下文Context,

     所以这里可以判断调用者进程是否在白名单中(如果存在白名单进程的话)

     if (IoThreadToProcess(Data->Thread) == WhiteListProcess) {

     return FLT_PREOP_SUCCESS_NO_CALLBACK;

     }

     */

     PFLT_FILE_NAME_INFORMATION FileNameInfo = NULL;

     if (FltObjects->FileObject != NULL) {

         status = FltGetFileNameInformation(Data, FLT_FILE_NAME_NORMALIZED | FLT_FILE_NAME_QUERY_DEFAULT, &FileNameInfo);

         if (NT_SUCCESS(status)) {

             FltParseFileNameInformation(FileNameInfo);

             //if (RtlCompareUnicodeString(&FileNameInfo->Name, &Protected, TRUE) == 0) {

             if (RtlCompareUnicodeString(&FileNameInfo->Extension, &Protected, TRUE) == ) {

                 DBG_PRINTF("Protecting file deletion/rename!");

                 Data->IoStatus.Status = STATUS_ACCESS_DENIED;

                 Data->IoStatus.Information = ;

                 Status = FLT_PREOP_COMPLETE;

             }

             // Clean up file name information.

             FltReleaseFileNameInformation(FileNameInfo);

         }

     }

     return Status;

 }

文件防删除保护(miniifiter)的更多相关文章

  1. 简单HOOK SSDT实现文件防删除

    http://www.rosoo.net/a/201001/8347.html

  2. Git学习笔记(3)——撤销修改和文件的删除

    本文主要记录了git中,错误的撤销和文件的删除. 撤销修改 这里有3中情况 改乱了工作区某个文件的内容,想直接丢弃工作区的修改时,用命令git checkout -- file. 不但改乱了工作区某个 ...

  3. LINUX运维实战案例之文件已删除但空间不释放问题的分析与解决办法

    1.错误现象 运维的监控系统发来通知,报告一台服务器空间满了,登陆服务器查看,根分区确实没有空间了,如下图所示: 这里首先说明一下服务器的一些删除策略,由于Linux没有回收站功能,我们的线上服务器所 ...

  4. [WinAPI] API 9 [文件的删除、复制和移动功能]

    Windows系统为文件的删除.复制.重命名或移动文件提供了相应的API函数.删除文件使用DeleteFile函数:复制文件使用CopyFile函数:重命名文件和移动文件实际是一个操作,使用MoveF ...

  5. Linux大文件已删除,但df查看已使用的空间并未减少解决

    在我的生活当中遇到磁盘快满了,这时候准备去删除一些大文件 于是我使用ncdu 查看了一下当前系统占用资源比较多的是那些文件,结果一看是elasticsearch的日志文件,好吧,竟然找到源头了,那就把 ...

  6. Mac下关于——你不能拷贝项目“”,因为它的名称太长或包括的字符在目的宗卷上无效。文件的删除

    内容是google的,测试有效,因为用revel打包的东西删除以后有这个循环bug Mac下关于——你不能拷贝项目“”,因为它的名称太长或包括的字符在目的宗卷上无效.文件的删除 关于这个问题我找到的一 ...

  7. DLL文件无法删除怎么解决

    dll文件你听说过吗?那怎样把那些删不掉的东西删掉呢?请看.... 老听网友说某某文件删不掉啊.之类的.而且有很多都是dll文件.删除的时候总是提示,"正在使用"或者是" ...

  8. C#结合js 上传文件和删除文件(技术点有:asp.net mvc ,nhibernate,ajax等)

    之前做项目的时候要用到上传文件的功能,现在我总结一下,上传文件和删除文件的代码,在以后的使用的过程中也更方便查找. [HttpPost] public ActionResult EditUser() ...

  9. ASP FSO操作文件(复制文件、重命名文件、删除文件、替换字符串)

    ASP FSO操作文件(复制文件.重命名文件.删除文件.替换字符串)FSO的意思是FileSystemObject,即文件系统对象.FSO对象模型包含在Scripting 类型库 (Scrrun.Dl ...

随机推荐

  1. SQL server 批量插入和更新数据

    批量插入数据 insert into A表数据库名.[dbo].A(a,b,c) (select a,b,c from B表数据库名.[dbo].B) 批量更新数据 根据身份证第二位更新性别 upda ...

  2. HDU 4348 To the moon(主席树 区间更新)题解

    题意: 给一个数组A[1] ~ A[n],有4种操作: Q l r询问l r区间和 C l r v给l r区间每个数加v H l r t询问第t步操作的时候l r区间和 B t返回到第t步操作 思路: ...

  3. Python游戏编程入门

    <Python游戏编程入门>这些文章负责整理在这本书中的知识点.注意事项和课后习题的尝试实现.并且对每一个章节给出的最终实例进行分析和注释. 初识pygame:pie游戏pygame游戏库 ...

  4. Request类源码分析

    通过APIView进入找到Request的源码 可以看见一堆属性和方法,其中request.data其实是一个方法,被包装成一个属性 继续看__getattr__和query_params方法: 代码 ...

  5. C# 如何获取可执行文件路径的上上级目录

    1. DirectoryInfo di = new DirectoryInfo(string.Format(@"{0}..\..\", Application.StartupPat ...

  6. java - 策略模式、状态模式、卫语句,避免多重if-else(转)

    前言 当代码中出现多重if-else语句或者switch语句时.弊端之一:如果这样的代码出现在多处,那么一旦出现需求变更,就需要把所有地方的if-else或者switch代码进行更改,要是遗漏了某一处 ...

  7. leecode第二百三十七题(删除链表中的节点)

    /** * Definition for singly-linked list. * struct ListNode { * int val; * ListNode *next; * ListNode ...

  8. LeetCode--030--串联所有单词的字串(java)

    给定一个字符串 s 和一些长度相同的单词 words.找出 s 中恰好可以由 words 中所有单词串联形成的子串的起始位置. 注意子串要与 words 中的单词完全匹配,中间不能有其他字符,但不需要 ...

  9. Python汉诺塔问题

    汉诺塔描述 古代有一座汉诺塔,塔内有3个座A.B.C,A座上有n个盘子,盘子大小不等,大的在下,小的在上,如图所示.有一个和尚想把这n个盘子从A座移到C座,但每次只能移动一个盘子,并且自移动过程中,3 ...

  10. Linux之nginx入门

    nginx入门 详见可参考:https://www.cnblogs.com/tiger666/p/10239307.html?tdsourcetag=s_pctim_aiomsg 1. 常用的WEB框 ...