[内核驱动]Minifilter实现文件拒绝访问

最新推荐文章于 2023-03-31 11:27:39 发布
最新推荐文章于 2023-03-31 11:27:39 发布
阅读量4.9k 收藏 8
点赞数 2
分类专栏: 内核态驱动 文章标签: 驱动开发 windows xp 文件系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/C0ldstudy/article/details/51585708
版权
本文介绍了如何在Windows XP环境下,利用内核态回调函数和微文件系统过滤驱动(Minifilter)来禁止特定程序(如WINOBJ.EXE)访问。主要涉及FltRegisterFilter和FltStartFiltering的使用,以及预操作回调函数NPPreCreate的实现。文章基于《寒江独钓》的例子进行改进和理解。
摘要由CSDN通过智能技术生成

最近研究驱动略有所得,记录下来供参考。本代码通过内核态回调函数和文件系统过滤驱动实现禁止某程序的功能(例子中是拒绝访问WINOBJ.EXE)。主要运行环境是Windows XP,由于Windows7后一些回调函数名字和结构有变化,所以驱动通用性不强。


1)微文件系统过滤的注册

DriverEntry函数中,通过FltRegisterFilter注册一个微过滤器;另一个是用FltStartFiltering开始过滤。FltRegisterFilter函数通过输入驱动对象和注册信息的结构返回微过滤器句柄,而FltStartFiltering函数实现开启过滤功能

NTSTATUS
DriverEntry (
    __in PDRIVER_OBJECT DriverObject,
    __in PUNICODE_STRING RegistryPath
    )
{
    NTSTATUS status;
    PSECURITY_DESCRIPTOR sd;
    OBJECT_ATTRIBUTES oa;
    UNICODE_STRING uniString;		 
    UNREFERENCED_PARAMETER( RegistryPath );

//向过滤管理器注册一个过滤器
    status = FltRegisterFilter( DriverObject,
                                &FilterRegistration,
                                &gFilterHandle );

    ASSERT( NT_SUCCESS( status ) );
//开启过滤行为
    if (NT_SUCCESS( status )) {
        status = FltStartFiltering( gFilterHandle );
	//如果开启失败,取消注册
        if (!NT_SUCCESS( status )) {
            FltUnregisterFilter( gFilterHandle );
        }
    }
   status=FltBuildDefaultSecurityDescriptor(&sd,FLT_PORT_ALL_ACCESS);                     
    RtlInitUnicodeString( &uniString, MINISPY_PORT_NAME );

    InitializeObjectAttributes( &oa,
                                &uniString,
                                OBJ_KERNEL_HANDLE|OBJ_CASE_INSENSITIVE,
                                NULL,
                                sd );
    FltFreeSecurityDescriptor( sd );    
    return status;
}

2)微过滤器数据结构
最低0.47元/天 解锁文章
C0ldstudy
关注
专栏目录
Minifilter实现目录保护
lastsurvivor的专栏
10-11 2502
这次的任务是对web服务器进行目录保护,防止增、删、改操作,我负责windows平台下的开发。经过半个月的摸索和各位大牛的帮助,已经实现了功能。以下是最近学习win内核的经验:            程序流程很简单,按照Minifilter框架,填写预操作回调函数。 所有IRP
windows内科安全与驱动开发minifilter禁止txt文件打开demo
08-13
《寒江独钓 Windows内核安全编程》的miniflter简单介绍和使用,Minifilter驱动文件,用Minifilter.inf安装 UseMinifilter,应用层 Minifilter_dll ,应用层(客户程序和驱动层通信)
一个简单的windows filesystem mini filter 驱动例子
pureman_mega的博客
01-10 1313
代码网上都有,就讲一下解决安装问题: 1,mini filter 的安装,一开始还是项普通的 legacy driver一样,通过命令函 "sc create servicenam binPath type=kernel"发现一直报错:找不到文件;然后调整"sc create servicename binPath type=filesys";驱动可以起来,然后FltRegisterFilter失败,报错找不到对象(0xc0000034).原来mini filter driver 安装需要通过inf 文件
[内核驱动] VS2012+WDK 8.0 Minifilter实现指定扩展名文件拒绝访问
weixin_34221773的博客
10-31 321
转载:http://blog.csdn.net/C0ldstudy/article/details/51585708 转载:http://blog.csdn.net/zj510/article/details/39344889 转载:http://blog.csdn.net/zj510/article/details/39345479 转载:http://www.cnblogs.com/js...
文件保护 miniflter
dingchangkejigongsi的博客
05-18 909
通过minifilter实现对指定文件夹,禁止删除、重命名。以及指定保护文件,禁止用户修改、删除、重命名,禁止往指定文件夹里面新建文件、以及文件夹以及禁止拷贝文件。 探讨加QQ:2740458587
拦截Minifilter与应用层通信的FltMessage
Sven的忘却日记
07-29 640
关于如何拦截Minifilter和应用层之间的通信消息,Hook FltMessage的两种方式
minifilter做程序限制的时候,打开.exe文件 会跟着打开一个.exe.config文件
weixin_30920513的博客
03-08 286
precreate里监控.exe文件的打开,发现每打开 .exe文件后 会接着打开 .exe.config 文件,这样 如果不过滤.exe.config的话 在随后的重定向文件的操作中会失败。 最简单的处理办法在 precreate里面 取出文件名后 判断后缀是不是.exe 是的话 在继续判断,否则一律放行 转载于:https://www.cnblogs.com/chenboo/archive/...
基于minifilter的分布式驱动文件透明加解密案例
09-28
这是我参加中国软件杯比赛时写的基于驱动文件透明加...驱动在系统内核级别对磁盘文件进行加密和解密,客户端实现驱动的管理和通信,服务器端实现了加解密策略的定制,访问授权等。现在共享给需要研究驱动的同学。
Win64 驱动内核编程-17. MINIFILTER文件保护)
墨鱼菜鸡
12-18 285
MINIFILTER(文件保护) 使用HOOK来监控文件操作的方法有很多,可以在SSDT上HOOK一堆和FILE有关的函数,也可以对FSD进行IRPHOOK,不过这些方法既不方便,也不安全。微软推荐的文件操作过滤方法是使用过滤驱动,在VISTA之后,推荐使用MINI...
miniFilter自带的例子,跟微软的一样
04-15
miniFilter自带的例子,跟微软的一样,里面有清楚的介绍
miniFilter 拦截与通讯实例
06-01
基于vs2012 wdk8.1 minifilter拦截文件操作并与R3层通信
驱动保护 -- 禁止读写操作
最新发布
weixin_41489908的博客
03-31 212
三、编译驱动,并加载,重新CE和Debug打开。2、Debug也查不到内存数据。二、添加禁止操作代码。1、CE都说不到数据。
windows内核驱动开发文件系统微过滤驱动Minifilter——获取进程信息
zcr214的博客
11-28 2325
【我的】文件系统微过滤驱动Minifilter——获取进程信息 作者:zcr214 时间:2016/4/22   在编写文件系统微过滤驱动minifilter的时候,除了绑定指定的磁盘分卷,对于指定的文件很可能还会有指定的应用程序,例如txt文件可以有很多编辑器可以使用,如wordpad,notepad,sublime,vim,notepad+等,doc文档可以使用office word或W
Minifilter 拦截FileMapping IO事件
zj510的专栏
12-18 2988
Minifilter 拦截FileMapping IO事件IO类型Minifilter拦截FileMapping拦截结论 IO类型 在Windows上一般常见的两种IO: 普通IO, 如通过ReadFile,WriteFile等Windows API进行读写 FileMapping,通过CreateFile打开一个文件,然后通过CreateFileMapping创建FileMapping对象,通...
监控进程创建,全部阻止的demo(使用MiniFilter
kernweak的博客
06-04 2265
使用wdk7600例子passthrough改写,监控IRPIRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION在 Data->Iopb->Parameters.AcquireForSectionSynchronization.PageProtection == PAGE_EXECUTE(等于这个就是创建进程) 在x64可以用这个监控进程 ,不会触发pa...
Minifilter过滤,功能实现驱动目录的监控,包括创建,重命名,删除并实现hips
热门推荐
zhuhuibeishadiao
05-02 1万+
注意下:我的这套过滤只能用在nt6系统上 原因是使用一个nt6上才有的函数 见函数 PsGetProcessFullName 其实没必要自己来写获取全路径 因为minifilter已经给我们提供了获取全路径的函数 FltGetFileNameInformation 我就不改了,哈哈 说说遇到的问题吧 在监控创建的时候,我在卸载post中的,我拒绝后,在弹窗,2-3
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值