在文件过滤驱动中如何判断文件访问请求来自网络

转载 2007年09月12日 15:02:00

在做文件过滤驱动的时候,经常会想知道这个文件访问请求是来自本地还是网络的,这样就可以根据自己制定的安全策略,决定是否允许这些请求完成,因此,成功的判断来自网络的文件访问就十分必要了。刚刚从驱网bmyyyud的Blog那里看到的一篇相关文章,还没有来得及测试,先转载过来吧,有空试试。

//---------------------------------------------------
//从IrpStackLocation中判断来自网络的文件访问
BOOLEAN SfIsFromNetAccess(
     PIO_STACK_LOCATION IrpSp
     )
{
     NTSTATUS status;
     PACCESS_TOKEN pToken = NULL;
     PTOKEN_SOURCE pTokenSrc = NULL ;
     PSECURITY_SUBJECT_CONTEXT secSubCtx;
     //PIO_STACK_LOCATION IrpSp = IoGetCurrentIrpStackLocation(Irp);
     
     secSubCtx = &(IrpSp->Parameters.Create.SecurityContext->AccessState->SubjectSecurityContext);

     if (secSubCtx->ClientToken != NULL || secSubCtx->PrimaryToken != NULL)
     {
           pToken = SeQuerySubjectContextToken(secSubCtx);
     }
     
     if (pToken == NULL)
     {
           //KdPrint(("SeQuerySubjectContextToken Errorn"));
           return FALSE;
     }

//
// Get TokenSource Name If SourceName is "NtLmSsp" it was logged-in via Lanmanager,
// "User32" represents localy logged-in users.
//
__try
{
     status = SeQueryInformationToken(pToken,TokenSource,&pTokenSrc);
     if (NT_SUCCESS(status))
     {
           pTokenSrc->SourceName[TOKEN_SOURCE_LENGTH-1] = 0x00;
           
           KdPrint(("Token Name :%s Len:%dn",pTokenSrc->SourceName,strlen(pTokenSrc->SourceName)));
     
           if (_stricmp(pTokenSrc->SourceName,"NtLmSsp") == 0 )
           {
                 KdPrint(("NetWork Access Token Findn"));
                 return TRUE;
           }
     }
     else
     {
           KdPrint(("SeQueryInformationToken Error:0x%xn",status));
     }
}
__finally
{
     ExFreePool(pTokenSrc);
}
     return FALSE;
}


 

相关文章推荐

过滤驱动来实现文件访问控制

  • 2014年07月30日 21:30
  • 325KB
  • 下载

Linux_5th_第1个linux驱动___投奔NFS网络文件系统

之前我们一直是在虚拟机ubuntu环境中测试我们的first_drv驱动模块,但是这不是我们的开发方向,在刚开始的学习中我们避免搭建过多的环境,因此选择了只在ubuntu中测试驱动。 我们的模...
  • weqpo
  • weqpo
  • 2016年12月19日 09:12
  • 175

windows 文件过滤驱动开发

  • 2017年10月31日 16:07
  • 7.86MB
  • 下载

基于文件过滤驱动的透明加密那点事儿

文件透明加密这点事儿,从2001年开始出现基于API HOOK的方式开始到现在,已经十几年了,有细心人按技术实现的方式将其细分为4代,分别是基于API HOOK的第一代技术、基于文件过滤驱动(加清缓存...
  • orbit
  • orbit
  • 2013年08月11日 23:22
  • 13856

文件过滤驱动实现目录重定向(二)

接上文。 如何实现 sfPassThrough  派遣函数,才能达到目录重定向呢。 我们首先要解决重定向的目的地,这里采用的是把所有需要重定向的IRP请求全部发送到应用层。 之所以这样做,因为在应用层...

C++ 多线程 COM windows文件过滤驱动

  • 2010年05月13日 09:40
  • 16.38MB
  • 下载
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:在文件过滤驱动中如何判断文件访问请求来自网络
举报原因:
原因补充:

(最多只允许输入30个字)