拦截Minifilter与应用层通信的FltMessage

最新推荐文章于 2023-09-07 16:09:25 发布
最新推荐文章于 2023-09-07 16:09:25 发布
阅读量614 收藏 2
点赞数
分类专栏: 内核开发 MiniFilter 文章标签: MiniFilter Hook FltMessage
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/126047988
版权

FltCreateCommunicationPort 函数在内核中创建Minifilter的ServerPort;

我们要Hook的回调函数MessageNotify,就在ServerPort结构中

 typedef struct _FLT_SERVER_PORT_OBJECT
 {
     LIST_ENTRY FilterLink;
     PFLT_CONNECT_NOTIFY ConnectNotify;
     PFLT_DISCONNECT_NOTIFY DisconnectNotify;
     PFLT_MESSAGE_NOTIFY MessageNotify;
     PFLT_FILTER Filter;
     PVOID Cookie;
     ULONG Flags;
     LONG NumberOfConnections;
     LONG MaxConnections;
 } FLT_SERVER_PORT_OBJECT, *PFLT_SERVER_PORT_OBJECT;

获取这个结构有两种思路

一种是根据Server端口名和ObReferenceObjectByName函数直接获取,比较麻烦的是对象类型是未公开的,需要动态获取,对象类型名称是FilterConnectionPort;

// 尝试获取目标filter类型
    FilterConnectionPort = GetObjectType(L"FilterConnectionPort");
    if(FilterConnectionPort)
    {
        RtlInitUnicodeString(&usFilterName,  L"\\KernelFilterPort");
        NtStatus = ObReferenceObjectByName(&usFilterName,OBJ_CASE_INSENSITIVE,NULL,FILE_ALL_ACCESS,FilterConnectionPort,KernelMode,NULL,(PVOID*)&pServerPort);
        if(NT_SUCCESS(NtStatus))
        {
            DbgPrint("FltServerPort=%p FltMessage=%p FltConnect=%p FltDisConnect=%p\n",
                pServerPort, 
                pServerPort->MessageNotify,
                pServerPort->ConnectNotify,
                pServerPort->DisconnectNotify
                );
            ObDereferenceObject(pServerPort);
        }
    }

第二种是通过FltEnumerateFilters函数,枚举所有Minifilter,得到_FLT_FILTER数组,该结构九二一根据名字判断是不是目标filter驱动

fltmgr!_FLT_FILTER
   +0x000 Base             : _FLT_OBJECT
   +0x020 Frame            : 0xfffffa80`31441630 _FLTP_FRAME
   +0x028 Name             : _UNICODE_STRING "TestDrv"
   +0x038 DefaultAltitude  : _UNICODE_STRING "168108"
   +0x048 Flags            : 2 ( FLTFL_FILTERING_INITIATED )
   +0x050 DriverObject     : 0xfffffa80`326b7ca0 _DRIVER_OBJECT
   +0x058 InstanceList     : _FLT_RESOURCE_LIST_HEAD
   +0x0d8 VerifierExtension : (null) 
   +0x0e0 VerifiedFiltersLink : _LIST_ENTRY [ 0x00000000`00000000 - 0x00000000`00000000 ]
   +0x0f0 FilterUnload     : 0xfffff880`038011d0     long  TestDrv!PtUnload+0
   +0x0f8 InstanceSetup    : (null) 
   +0x100 InstanceQueryTeardown : (null) 
   +0x108 InstanceTeardownStart : (null) 
   +0x110 InstanceTeardownComplete : (null) 
   +0x118 SupportedContextsListHead : (null) 
   +0x120 SupportedContexts : [6] (null) 
   +0x150 PreVolumeMount   : (null) 
   +0x158 PostVolumeMount  : (null) 
   +0x160 GenerateFileName : (null) 
   +0x168 NormalizeNameComponent : (null) 
   +0x170 NormalizeNameComponentEx : (null) 
   +0x178 NormalizeContextCleanup : (null) 
   +0x180 KtmNotification  : (null) 
   +0x188 Operations       : 0xfffffa80`32f493a0 _FLT_OPERATION_REGISTRATION
   +0x190 OldDriverUnload  : (null) 
   +0x198 ActiveOpens      : _FLT_MUTEX_LIST_HEAD
   +0x1e8 ConnectionList   : _FLT_MUTEX_LIST_HEAD   
   +0x238 PortList         : _FLT_MUTEX_LIST_HEAD
   +0x288 PortLock         : _EX_PUSH_LOCK

在该结构的ConnectionList.m_list字段中保存的是一个双向链表,刚好是_FLT_SERVER_PORT_OBJECT结构的FilterLink

3: kd> dx -id 0,0,fffffa8030ef1040 -r1 (*((fltmgr!_FLT_MUTEX_LIST_HEAD *)0xfffffa8032f492f8))
(*((fltmgr!_FLT_MUTEX_LIST_HEAD *)0xfffffa8032f492f8))                 [Type: _FLT_MUTEX_LIST_HEAD]
    [+0x000] mLock            [Type: _FAST_MUTEX]
    [+0x038] mList            [Type: _LIST_ENTRY]  -------->  双向链表 _FLT_SERVER_PORT_OBJECT
    [+0x048] mCount           : 0x2 [Type: unsigned long]
    [+0x048 ( 0: 0)] mInvalid         : 0x0 [Type: unsigned char]


 typedef struct _FLT_SERVER_PORT_OBJECT
 {
     LIST_ENTRY FilterLink;
     PFLT_CONNECT_NOTIFY ConnectNotify;
     PFLT_DISCONNECT_NOTIFY DisconnectNotify;
     PFLT_MESSAGE_NOTIFY MessageNotify;
     PFLT_FILTER Filter;
     PVOID Cookie;
     ULONG Flags;
     LONG NumberOfConnections;
     LONG MaxConnections;
 } FLT_SERVER_PORT_OBJECT, *PFLT_SERVER_PORT_OBJECT;

参考FltCreateCommunicationPort函数实现代码片段

/* Insert the object */
         Status = ObInsertObject(PortObject,
                                 NULL,
                                 STANDARD_RIGHTS_ALL | FILE_READ_DATA,
                                 0,
                                 NULL,
                                 (PHANDLE)ServerPort);
         if (NT_SUCCESS(Status))
         {
             /* Lock the connection list */
             ExAcquireFastMutex(&Filter->ConnectionList.mLock);
 
             /* Add the new port object to the connection list and increment the count */
             InsertTailList(&Filter->ConnectionList.mList, &PortObject->FilterLink);
             Filter->ConnectionList.mCount++;
 
             /* Unlock the connection list*/
             ExReleaseFastMutex(&Filter->ConnectionList.mLock);
         }
FFE4
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
minifilter_用户模式和内核模式间的通信
tianyu的专栏 - Linux site:blog.csdn.net/wishfly
09-27 405
1. 用户模式和内核模式间的通信 1.1Minifilter R3与R0通信 https://blog.csdn.net/zhuhuibeishadiao/article/details/51229122 12.Inverted Call In MiniFilter Driver https://community.osr.com/discussion/241724/inverted-...
minifilter 与用户态的通信
weixin_30344795的博客
09-07 149
驱动层的步骤1. 创建通信端口  FltCreateCommunicationPort    对于安全对象,必须设置OBJ_KERNEL_HANDLE。    ServerPort 监听客户端连接请求的端口。    第三个参数ObjectAttributes 通过InitializeObjectAttributes初始化,其中包含了端口名称。方便应用层打开。    ConnectNotifyCa...
linux 过滤驱动 用户态,微过滤器驱动开发指南(与用户态的通信和11.文件名处理)...
weixin_39760368的博客
04-29 311
微过滤器驱动开发指南(与用户态的通信和11.文件名处理)微过滤器驱动开发指南 之四10.与用户态的通信10.1 过滤器通信端口对象为了实现安全的和支持多种不同类型通信方法,一个新的对象被引入:微过滤器通信端口(以下简称通信端口或者端口)。专门设计用来给核心态-用户态通信或者反过来。核心-核心通信现在不在支持。一个端口是一个有名字的NT对象。而且有一个安全的描述符号。过滤管理器生成了一个新的对象类型...
文件系统Minifilter驱动(三)
听风
03-02 9835
5).管理文件名filter管理器消除了legacy过滤驱动重获和管理文件名所必需的许多工作。当一个名被请求时,filter管理器在引用计数结构中以适当的格式为当前操作提供名: 规范名, opened名或短名.  minifilter驱动可以调用FltGetDestinationFileNameInformation 来为正被rename或其NTFS hard link正被创建的文件或
Minifilter 拦截FileMapping IO事件
zj510的专栏
12-18 2875
Minifilter 拦截FileMapping IO事件IO类型Minifilter拦截FileMapping拦截结论 IO类型 在Windows上一般常见的两种IO: 普通IO, 如通过ReadFile,WriteFile等Windows API进行读写 FileMapping,通过CreateFile打开一个文件,然后通过CreateFileMapping创建FileMapping对象,通...
minifilter_内核通信_DEMO_minifilter_
10-02
这个"minifilter_内核通信_DEMO_minifilter_"项目旨在演示如何在内核模式的Minifilter驱动程序中实现与用户层应用程序的通信。通过这个DEMO,我们可以学习到以下关键知识点: 1. **Minifilter驱动程序**:...
精选_Minifilter驱动程序与用户层程序通信_源码打包
03-10
用户层程序与Minifilter驱动程序之间的通信是通过特定机制实现的,以便于在安全的环境下传递信息和控制指令。 要实现Minifilter驱动程序与用户层程序的通信,通常有以下几种方法: 1. **IRP(I/O请求包)传递**:...
miniFilter 拦截与通讯实例
06-01
本教程将深入探讨如何在Visual Studio 2012和Windows Driver Kit (WDK) 8.1环境下,利用MiniFilter拦截文件操作并实现与用户模式(R3层)的通信。我们将从以下几个方面详细讲解这一主题: 1. **MiniFilter概述**...
windows内科安全与驱动开发,minifilter禁止txt文件打开demo
08-13
《寒江独钓 Windows内核安全编程》的miniflter简单介绍和使用,Minifilter驱动文件,用Minifilter.inf安装 UseMinifilter应用Minifilter_dll ,应用层(客户程序和驱动层通信)
minifilter 文件透明加密源码
08-05
基于minifilter框架下的透明加解密源码。 1 手工加载时自动增加system,explorer.exe,notepad.exe为监控进程
Minifilter过滤驱动与R3程序通讯实现文件保护
qq_18811919的博客
09-07 371
实现保护文件或目录、R3层通过与过滤驱动通讯通知要保护的文件或目录,可执行创建不可删除或修改
Minifilter笔记
kernweak的博客
06-05 2947
Minfilter与legacy filter区别 比sfilter加载顺序更易控制. altitude被绑定到合适的位置。 Minfilter在注册表服务项中有一项Altitude值 此值越高位置越靠前 (待考证 每一个minifilter驱动必须有一个叫做altitude的唯一标识符.一个minifilter驱动的altitude定义了它加载时在I/O栈中相对其他minifilter驱动...
文件系统Minifilter驱动(五)
听风
03-02 6045
安装Minifilter驱动XP及更新的Windows OS中,你应该用INF文件和一个安装应用程序来安装你的minifilter驱动. (2K及更早的OS中,minifilter 驱动一般是借助Service Control Manager安装的.)注意"基于INF的安装"仅仅意味着你需要使用一个INF文件来复制文件并存储信息到注册表中.你没有被要求用仅仅一个INF文件来安装你的整个产品
Minifilter微过滤框架:框架介绍以及驱动层和应用层的通讯
扣的CODE
08-30 8482
minifilter是sfilter后微软推出的过滤驱动框架。相比于sfilter,他更容易使用,需要程序员做的编码更简洁。系统为minifilter专门制作了一个过滤管理器,这个管理器本身其实是一个传统过滤驱动,它向minifilter的使用者提供许多接口,让原本复杂的文件过滤驱动变得方便简单。之所以简单是因为传统的过滤驱动把大量的工作放在绑定设备上,而现在这些工作都交给minifilter中的
[内核驱动] miniFilter 内核层与应用程序通信
weixin_33827965的博客
11-03 520
转载:http://blog.csdn.net/heyabo/article/details/8721611 转载:http://www.cnblogs.com/ljinshuan/archive/2012/03/15/2397743.html 一、建立通信端口 在DriverEntry函数里创建一个安全性叙述子。 函数FltBuildDefaultSecurityDescriptor是用...
Closing the Communication Server Port 关闭通信服务端口
weixin_34129696的博客
01-10 210
如果微过滤驱动以前打开过一个内核模式的通信服务端口通过调用FltCreateCommunicationPort,它必须关闭端口通过调用FltCloseCommunicationPort 。 为了阻止系统挂起在卸载进程时,微过滤驱动的FilterUnloadCallback 例程必须关闭端口在调用FltUnregisterFilter之前。 如果用户模式应用程序有一个开启的连接,连向通信服务端口...
基于Minifilter的文件过滤驱动以及与应用层通讯(付代码)
C++入门到放弃
11-06 6354
实现应用层与驱动程序通讯,控制驱动程序,发送路径,达到指定目录禁止访问的目的。
Minifilter过滤,功能实现对驱动目录的监控,包括创建,重命名,删除并实现hips
热门推荐
zhuhuibeishadiao
05-02 1万+
注意下:我的这套过滤只能用在nt6系统上 原因是使用一个nt6上才有的函数 见函数 PsGetProcessFullName 其实没必要自己来写获取全路径 因为minifilter已经给我们提供了获取全路径的函数 FltGetFileNameInformation 我就不改了,哈哈 说说遇到的问题吧 在监控创建的时候,我在卸载post中的,我拒绝后,在弹窗,2-3
minifilter 下载
最新发布
09-11
Minifilter是Windows操作系统中的一个内核模块,它可以对文件系统I/O操作进行监控和过滤,提供一定程度的文件系统访问控制和文件操作的修改能力。minifilter可以在文件系统级别实现对文件的读写访问控制、文件内容加密、文件过滤等功能。 minifilter的下载通常分为两个步骤:首先需要下载Windows Driver Kit(WDK)或Windows SDK,以获取minifilter开发所需的工具和库文件;其次,可以根据自己的具体需求编写或下载现有的minifilter源代码。 WDK或Windows SDK是微软提供的一套开发工具,它包含了开发Windows驱动程序所需的一系列工具、示例代码、库文件和文档等,可以用于minifilter开发及其他相关驱动程序的开发。 一般来说,在微软官网上可以找到WDK或Windows SDK的下载链接,用户可以根据自己的操作系统版本和开发环境选择合适的版本进行下载安装。安装完成后,用户可以在Windows开发环境中配置相应的环境变量,然后就可以使用WDK或Windows SDK提供的工具和库文件进行minifilter开发。 另外,也可以通过搜索引擎或开源社区等途径,找到已经编写好的minifilter源代码,并根据需要进行下载和修改。这种方式适用于一些常见的minifilter功能,如文件加密、病毒扫描等,可以节省开发时间和工作量。 总之,minifilter的下载需要获取Windows Driver Kit或Windows SDK,然后可以通过官方渠道或开源社区获取minifilter的源代码,以进行开发和定制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值