关于监控文件系统上的IRP序列

最新推荐文章于 2019-06-04 18:22:04 发布
VIP文章 最新推荐文章于 2019-06-04 18:22:04 发布
阅读量3.7k 收藏 1
点赞数
分类专栏: Windows驱动 文章标签: null 框架 windows object string 生物
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/digimon/article/details/7315239
版权

最近在写一个基于生物免疫学原理的恶意代码检测系统,其中需要应用程序在Windows内核中产生的IRP序列。本文总结一下怎么获得文件系统上的IRP序列。希望对需要ring0主动向ring3频繁通信的朋友有点帮助


基本框架是Minifilter。向minifilter注册回调函数来监控走过文件系统设备上的IRP。

Minifilter框架详见微软WDK文档:http://msdn.microsoft.com/en-us/library/ff540402.aspx


接下来就是如何拿到IRP序列并传输到ring3层:

首先得申请一块ring0和ring3的共享内存

1. ExAllocatePool申请一块非分页内存

2. IoAllocateMdl得到内存块的描述符列表MDL

3. MmBuildMdlForNonPagedPool将2中得到的MDL更新成物理页的描述符

通过向minifilter发送消息(FilterSendMessage),或者通过DeviceIoControl,来获得ring0中申请的内存的ring3地址

1. 在处理ring3消息的函数中通过MmMapLockedPages将物理页映射到当前进程地址空间,拿到虚拟地址

2. 将得到的当前进程地址空间地址通过输出缓冲区传回ring3


接下来就可以通过向那段共享内存写入数据,并用事件(Event)来通知ring3接收数据。这时候注意得让ring3在读取完毕后通过一个事件或者别的同步手段通知内核继续IRP捕获。

能这么做的原因是minifilter似乎已经完成了IRP请求的序列化,通过测试发现,针对单个

最低0.47元/天 解锁文章
hbprotoss
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
irp trace v2.0 破解版
08-10
irp trace v2.0 破解版,支持winxp,2003,vista,7,8,10 x86,x64等版本,非常好用,不敢独享。
IFS文件过滤驱动程序开发之IRP文件操作接口的终极实现代码.zip
01-28
IFS文件过滤驱动程序开发之IRP文件操作接口的终极实现代码.zip
irptrace 最新破解版
04-14
irptrace 最新破解版,带注册机,希望对你有帮助。
IRPTRACE(软件+注册机)
04-20
IRPTrace是驱动开发是必须的调试工具之一。可监控发往Windows的I/O请求包。里面包含软件和注册机,希望大家喜欢。
windows内核 自创建IRP访问文件加非递归遍历文件
09-01
windows内核,自构建IRP,防止rootkey 隐藏隐藏文件或拦截,加上非递归遍历文件(内核栈小不递归)代码加完整例子
监控进程创建,全部阻止的demo(使用MiniFilter
kernweak的博客
06-04 2110
使用wdk7600例子passthrough改写,监控IRPIRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION在 Data->Iopb->Parameters.AcquireForSectionSynchronization.PageProtection == PAGE_EXECUTE(等于这个就是创建进程) 在x64可以用这个监控进程 ,不会触发pa...
minifilter 与用户态的通信
thanklife的专栏
08-18 1676
FilterConnectCommunicationPort opens a new connection to a communication server port that is created by a file system minifilter. HRESULT FilterConnectCommunicationPort( _In_     LPCWSTR
Windows驱动开发WDM (5)- DeviceIoControl(直接方式交互"输出buffer")
热门推荐
zj510的专栏
11-23 1万+
除了ReadFile和WriteFile外,还有一个函数可以让用户模式程序访问内核模式驱动:DeviceIoControl。这是经常用的一个API, 原型如下: BOOL WINAPI DeviceIoControl( _In_ HANDLE hDevice,//已经打开的设备 _In_ DWORD dwIoControlCode,控制码 _In_op
Minifilter微过滤框架框架介绍以及驱动层和应用层的通讯
扣的CODE
08-30 8434
minifilter是sfilter后微软推出的过滤驱动框架。相比于sfilter,他更容易使用,需要程序员做的编码更简洁。系统为minifilter专门制作了一个过滤管理器,这个管理器本身其实是一个传统过滤驱动,它向minifilter的使用者提供许多接口,让原本复杂的文件过滤驱动变得方便简单。之所以简单是因为传统的过滤驱动把大量的工作放在绑定设备上,而现在这些工作都交给minifilter中的
IRP跟踪工具irpTrace补丁
05-08
IRP 跟踪工具 irpTrace 补丁 好
IRP.zip_IRP
09-22
使用IRP进行文件操作,大家可以好好看看
文件系统过滤驱动实现文件隐藏
03-18
C盘对应的设备对象是\Device\HarddiskVolume1文件系统过滤驱动,就是在文件系统驱动上生成自己的设备,然后去绑定这些设备,从而实现对发送给卷设备的IRP进行过滤,进而过滤各种文件操作。比如文件隐藏。
MacOSX-FileSystem-Filter:Mac OS X的文件系统过滤器
03-11
可用的内核授权子系统(kauth)仅允许过滤打开的请求和有限数量的操作在文件/目录上。 它不允许过滤读写操作,并且由于在kauth回调调用时已经创建了vnode,因此对文件系统操作提供了有限的控制。 在Windows中,kauth...
Windows内核字符串相关函数
残酷な天使
05-09 3112
函数名含有Cb的是以字节数为单位,含有Cch的是以字符数为单位。 函数名 作用 取代
关于PE格式中的文件地址,虚拟地址,相对虚拟地址的理解
残酷な天使
04-21 2584
<br /><br />首先贴上定义<br />1.文件偏移地址 (File Offest)<br />数据在PE文件中的地址叫文件偏移地址,个人认为叫做文件地址更加准确.这是文件在磁盘上存放时相<br />对文件开头的偏移.<br /><br />2.装载地址 (Image Base)<br />PE装入内存时的基地址.默认情况下,EXE文件在内存中的基地址是0x00400000,DLL文件是0x10000000.<br /><br />这些位置可以通过修改编译选项更改.<br /><br />3.虚拟内
关于驱动开发的编译、调试环境
残酷な天使
04-21 1516
<br /><br />很多书上都建议抛开VS平台,直接用普通文本编辑器和DDK的命令行工具进行编码、编译,但对我这种小菜鸟貌似没有VS这个IDE比较不习惯,毕竟VS结构成员自动弹出、自动纠错什么的功能还是蛮实用的,减少出错几率~~呵呵。所以网上找了一下,发现一个VS的扩展:Visual ddk。下面说一下配置驱动开发的编译、调试环境。<br /> <br />直接使用Visualddk+VS完成所有编译、调试工作的最好做如下调整:<br />先按官网上的步骤配置好默认的Visualddk,将Visuald
成功实现通过SSDT HOOK拒绝指定文件的访问
残酷な天使
05-23 1129
菜鸟习作,老鸟勿笑~~ ---------------------------------------------------------------------------------------------------------------------------------------------------------------------- 经历两天终于把这个搞出来了,作为一个菜鸟还是有点成就感滴~~嘿嘿。下面记录一下实现过程中的各种问题,作为以后的参考。 一句话:内核如沼泽。 首先是
irp trace 2.0
最新发布
06-27
在使用过程中,IRP Trace 2.0会将不同的驱动程序产生的请求发送信息进行记录,并将这些信息分析整理成一个统一的日志文件,该日志文件可以协助开发人员找到系统驱动程序中出现的问题以及在加速驱动程序开发过程中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值