0x01 思路(原理)

  驱动层文件保护的思路是通过minifilter过滤文件删除相关的IRP,并将目标文件与被保护文件相比较,命中保护规则的话返回STATUS_ACCESS_DENIED拒绝访问;也可以进一步利用回调函数获取的FLT_CALLBACK_DATA结构体解析文件删除操作对应的发起者进程,与白名单进程(允许执行删除操作的进程)相比较。

  需要过滤的IRP类型:IRP_MJ_SET_INFORMATION与IRP_MJ_CREATE(或还有其他类型IRP需要过滤,尚未知)

IRP_MJ_SET_INFORMATION的产生原因一般是请求设置文件属性等等,比如ZwSetInformationFile函数可以发起此IRP.这里顺带说一句的是,许多驱动都用ZwSetInformationFile函数来实现强删文件的,比如腾讯电脑管家中的TSSysKit.sys驱动中文件穿透操作的删除文件就是调用ZwSetInformationFile函数将FileInformationClass设为FileDispositionInformation且((PFILE_DISPOSITION_INFORMATION)Irp->AssociatedIrp.SystemBuffer)->DeleteFile设为TRUE来达到删除文件的目的(如果是强删正在运行的文件,那么还需将文件对象的SectionObjectPointer->ImageSectionObject和 SectionObjectPointer->DataSectionObject 两个字段置零)。因此,对于IRP_MJ_SET_INFORMATION,应当检查FileInformationClass是否是FileRenameInformation和FileShortNameInformation标志。

  IRP_MJ_CREATE的产生原因一般是请求打开文件句柄,文件对象以及其他内核对象等等,比如ZwCreateFile函数可以发起此IRP.如果ZwCreateFile函数指定了FILE_DELETE_ON_CLOSE标志,那么当最后一个文件句柄被NtClose关闭时,文件会被删除,这也就是过滤IRP_MJ_CREATE的原因。因此,对于IRP_MJ_CREATE,应当检查是否有FILE_DELETE_ON_CLOSE 标志指定。

0x01 源码及注释如下

 #include <fltKernel.h>

 //#include "FileDeleteProtect.h"

 #define DEBUG

 #ifdef DEBUG

 #define DBG_PRINTF(_fmt, ...) DbgPrint(_fmt, __VA_ARGS__)

 #else

 #define DBG_PRINTF(_fmt, ...) { NOTHING; }

 #endif

 DRIVER_INITIALIZE DriverEntry;

 NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT DriverObject, _In_ PUNICODE_STRING RegistryPath);

 NTSTATUS Unload(_In_ FLT_FILTER_UNLOAD_FLAGS Flags);

 FLT_PREOP_CALLBACK_STATUS PreAntiDelete(_Inout_ PFLT_CALLBACK_DATA Data, _In_ PCFLT_RELATED_OBJECTS FltObjects, _Flt_CompletionContext_Outptr_ PVOID *CompletionContext);

 //过滤IRP的回调数组

 CONST FLT_OPERATION_REGISTRATION Callbacks[] = {

     { IRP_MJ_CREATE, , PreAntiDelete, NULL },                // DELETE_ON_CLOSE 标志.

     { IRP_MJ_SET_INFORMATION, , PreAntiDelete, NULL },        // FileDispositionInformation(Ex).

     { IRP_MJ_OPERATION_END }

 };

 CONST FLT_REGISTRATION FilterRegistration = {

     sizeof(FLT_REGISTRATION),                // Size

     FLT_REGISTRATION_VERSION,                // Version

     ,                                        // Flags

     NULL,                                    // ContextRegistration

     Callbacks,                                // OperationRegistration

     Unload,                                    // FilterUnloadCallback

     NULL,                                    // InstanceSetupCallback

     NULL,                                    // InstanceQueryTeardownCallback

     NULL,                                    // InstanceTeardownStartCallback

     NULL,                                    // InstanceTeardownCompleteCallback

     NULL,                                    // GenerateFileNameCallback

     NULL,                                    // NormalizeNameComponentCallback

     NULL                                    // NormalizeContextCleanupCallback

 };

 PFLT_FILTER Filter;

 static UNICODE_STRING Protected = RTL_CONSTANT_STRING(L"EXE");

 NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT DriverObject, _In_ PUNICODE_STRING RegistryPath) {

     UNREFERENCED_PARAMETER(RegistryPath);

     NTSTATUS Status = FltRegisterFilter(DriverObject, &FilterRegistration, &Filter);

     if (!NT_SUCCESS(Status)) {

         DBG_PRINTF("Failed to register filter: <0x%08x>.\n", Status);

         return Status;

     }

     Status = FltStartFiltering(Filter);

     if (!NT_SUCCESS(Status)) {

         DBG_PRINTF("Failed to start filter: <0x%08x>.\n", Status);

         FltUnregisterFilter(Filter);

     }

     return Status;

 }

 NTSTATUS Unload(_In_ FLT_FILTER_UNLOAD_FLAGS Flags) {

     UNREFERENCED_PARAMETER(Flags);

     DBG_PRINTF("Unload called.\n");

     FltUnregisterFilter(Filter);

     return STATUS_SUCCESS;

 }

 /*

 * PreCallback的调用时机

 * IRP_MJ_CREATE——ZwCreateFile

 * IRP_MJ_SET_INFORMATION——ZwSetInformation.

 */

 FLT_PREOP_CALLBACK_STATUS PreAntiDelete(_Inout_ PFLT_CALLBACK_DATA Data, _In_ PCFLT_RELATED_OBJECTS FltObjects, _Flt_CompletionContext_Outptr_ PVOID *CompletionContext) {

     UNREFERENCED_PARAMETER(CompletionContext);

     PAGED_CODE();//PreCallback的IRQL应当<= APC_LEVEL

     FLT_PREOP_CALLBACK_STATUS Status = FLT_PREOP_SUCCESS_NO_CALLBACK;//不再调用postoperation callback routine,

     BOOLEAN IsDirectory;//目录操作跳过,不管

     NTSTATUS status = FltIsDirectory(FltObjects->FileObject, FltObjects->Instance, &IsDirectory);

     if (NT_SUCCESS(status)) {

         if (IsDirectory == TRUE) {

             return Status;

         }

     }

     if (Data->Iopb->MajorFunction == IRP_MJ_CREATE) {

         if (!FlagOn(Data->Iopb->Parameters.Create.Options, FILE_DELETE_ON_CLOSE)) {

             return Status;

         }

     }

     if (Data->Iopb->MajorFunction == IRP_MJ_SET_INFORMATION) {

         switch (Data->Iopb->Parameters.SetFileInformation.FileInformationClass) {

         case FileRenameInformation:

         case FileRenameInformationEx:

         case FileDispositionInformation:

         case FileDispositionInformationEx:

         case FileRenameInformationBypassAccessCheck:

         case FileRenameInformationExBypassAccessCheck:

         case FileShortNameInformation:

             break;

         default:

             return Status;

         }

     }

     /*

     ZwCreateFile和ZwSetInformation函数都是运行在PASSIVE_LEVEL的,所以当前的线程上下文

     应当就是ZwCreateFile或ZwSetInformation函数的调用者进程对应的线程的上下文Context,

     所以这里可以判断调用者进程是否在白名单中(如果存在白名单进程的话)

     if (IoThreadToProcess(Data->Thread) == WhiteListProcess) {

     return FLT_PREOP_SUCCESS_NO_CALLBACK;

     }

     */

     PFLT_FILE_NAME_INFORMATION FileNameInfo = NULL;

     if (FltObjects->FileObject != NULL) {

         status = FltGetFileNameInformation(Data, FLT_FILE_NAME_NORMALIZED | FLT_FILE_NAME_QUERY_DEFAULT, &FileNameInfo);

         if (NT_SUCCESS(status)) {

             FltParseFileNameInformation(FileNameInfo);

             //if (RtlCompareUnicodeString(&FileNameInfo->Name, &Protected, TRUE) == 0) {

             if (RtlCompareUnicodeString(&FileNameInfo->Extension, &Protected, TRUE) == ) {

                 DBG_PRINTF("Protecting file deletion/rename!");

                 Data->IoStatus.Status = STATUS_ACCESS_DENIED;

                 Data->IoStatus.Information = ;

                 Status = FLT_PREOP_COMPLETE;

             }

             // Clean up file name information.

             FltReleaseFileNameInformation(FileNameInfo);

         }

     }

     return Status;

 }

文件防删除保护(miniifiter)的更多相关文章

  1. 简单HOOK SSDT实现文件防删除

    http://www.rosoo.net/a/201001/8347.html

  2. Git学习笔记(3)——撤销修改和文件的删除

    本文主要记录了git中,错误的撤销和文件的删除. 撤销修改 这里有3中情况 改乱了工作区某个文件的内容,想直接丢弃工作区的修改时,用命令git checkout -- file. 不但改乱了工作区某个 ...

  3. LINUX运维实战案例之文件已删除但空间不释放问题的分析与解决办法

    1.错误现象 运维的监控系统发来通知,报告一台服务器空间满了,登陆服务器查看,根分区确实没有空间了,如下图所示: 这里首先说明一下服务器的一些删除策略,由于Linux没有回收站功能,我们的线上服务器所 ...

  4. [WinAPI] API 9 [文件的删除、复制和移动功能]

    Windows系统为文件的删除.复制.重命名或移动文件提供了相应的API函数.删除文件使用DeleteFile函数:复制文件使用CopyFile函数:重命名文件和移动文件实际是一个操作,使用MoveF ...

  5. Linux大文件已删除,但df查看已使用的空间并未减少解决

    在我的生活当中遇到磁盘快满了,这时候准备去删除一些大文件 于是我使用ncdu 查看了一下当前系统占用资源比较多的是那些文件,结果一看是elasticsearch的日志文件,好吧,竟然找到源头了,那就把 ...

  6. Mac下关于——你不能拷贝项目“”,因为它的名称太长或包括的字符在目的宗卷上无效。文件的删除

    内容是google的,测试有效,因为用revel打包的东西删除以后有这个循环bug Mac下关于——你不能拷贝项目“”,因为它的名称太长或包括的字符在目的宗卷上无效.文件的删除 关于这个问题我找到的一 ...

  7. DLL文件无法删除怎么解决

    dll文件你听说过吗?那怎样把那些删不掉的东西删掉呢?请看.... 老听网友说某某文件删不掉啊.之类的.而且有很多都是dll文件.删除的时候总是提示,"正在使用"或者是" ...

  8. C#结合js 上传文件和删除文件(技术点有:asp.net mvc ,nhibernate,ajax等)

    之前做项目的时候要用到上传文件的功能,现在我总结一下,上传文件和删除文件的代码,在以后的使用的过程中也更方便查找. [HttpPost] public ActionResult EditUser() ...

  9. ASP FSO操作文件(复制文件、重命名文件、删除文件、替换字符串)

    ASP FSO操作文件(复制文件.重命名文件.删除文件.替换字符串)FSO的意思是FileSystemObject,即文件系统对象.FSO对象模型包含在Scripting 类型库 (Scrrun.Dl ...

随机推荐

  1. windows中的软链接硬链接等

    学校嘛,有些时候还是得逆逆上网客户端啥的,并且学校的不少工作,这Windows的需求还是挺强的,之前Win10的体验并不是太好,不过时隔这么久,打算从7升级到10了,恰好系统也该换了. 首先是命令行的 ...

  2. swift 有道 翻译文档(2 条件语句 循环语句)

    控制流使用if和switch来创建条件语句,使用for-in.while和repeat-while来创建循环.条件或循环变量的括号是可选的.身体周围需要支撑. let individualScores ...

  3. C# 如何获取可执行文件路径的上上级目录

    1. DirectoryInfo di = new DirectoryInfo(string.Format(@"{0}..\..\", Application.StartupPat ...

  4. 开启BBR

    BBR 目的是要尽量跑满带宽, 并且尽量不要有排队的情况, 效果并不比速锐差Linux kernel 4.9+ 已支持 tcp_bbr 下面简单讲述基于KVM架构VPS如何开启附:OpenVZ 架构V ...

  5. SpringBoot使用日志

    1.日志框架 日志门面 日志实现 JCL.SLF4J.jboss-logging Log4j.JUL.Log4j2.Logback 日志门面:SLF4J 日志实现:Logback SpringBoot ...

  6. 人生苦短,我用python(目录)

    一.python基础篇 python中闭包及延时绑定问题 python中的装饰器.生成器 二.前端 bootstrap框架 BOM&DOM JavaScript中的词法分析 三.数据库 mys ...

  7. JavaScript前端面试题总结

    1.em和rem 像素(px):用于元素的边框或定位. em/rem:用于做响应式页面,em相对于父元素,rem相对于根元素. rem 单位翻译为像素值是由 html 元素的字体大小决定的. 此字体大 ...

  8. Wincc报表+Listview使用

    listview在Wincc中可以作为显示的控件,对于列表表头的定义如下所示: list的命名,点击属性,在对象名称中对其定义: 有了listview的定义,就可以使用VBS对其表头的定义.具体代码如 ...

  9. 从零开始学Python 三(网络爬虫)

    本章由网络爬虫的编写来学习python.首先写几行代码抓取百度首页,提提精神,代码如下: import urllib.request file=urllib.request.urlopen(" ...

  10. 多个yml文件的读取方式

    1配置pom.xml文件,以下配置将默认激活-dev.yml配置文件<profiles>        <profile>            <id>dev&l ...