sfilter文件驱动(二)--文件的关联

最新推荐文章于 2020-07-27 10:46:45 发布
最新推荐文章于 2020-07-27 10:46:45 发布
阅读量437 收藏 3
点赞数
分类专栏: 文件加解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jimk1983/article/details/78326847
版权
前面说了关于sFilter的设备的挂载,主要是针对DeviceObject, 通过将驱动创建多个过滤设备,挂载到系统的卷设备上, 系统就会将所有到该卷的IRP操作都重定向到我们的驱动派遣函数中
        接着,我们这里要分析关于针对文件的操作了,经过几天的研究,发现了几个有趣的地方,首先了解下大致的流程。
IRP_MJ_CREATE: 创建文件例程
首先,我们操作文件的时候,都要先打开一个文件,有些使用notepad.exe打开,有些是word.exe, 有些是winrar.exe之类的,所有的文件都需要由某个应用程序的进程来打开,实际上,内部的操作,应该都是该应用程序的操作,例如:CreateFile(), ReadFile(), WriteFile()之类的。(你也可以自己写一个进程,然后打开某个路径的文件,那么此时打开该文件的句柄,就是你所写的进程所打开的句柄)。
所以首先,我们一般HANDLE hFilehandle=CreateFile(READ|WRITE); 这样打开一个文件的时候,NT的I/O管理器就会产生一个IRP请求,并且如果此时加载了我们的过滤驱动,那么该操作就会被我们捕获,这样NT的I/O管理器会将该IRP请求(CREATE)的请求发送给了我们之前附加的最顶层的过滤设备,然后重定向到我们的驱动中的IRP_MJ_CREATE中注册的函数中来(强调一次: 每个I/O管理器的IRP请求,都只是针对该操作产生一次,处理完就会释放掉,如果有新的操作,那么就会再次产生新的IRP),此时我们的Create注册函数类似这样:
NTSTATUS  SfCreate( IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp )
---DeviceObject就是过滤设备,Irp就是该次的I/O请求
{
PIO_STACK_LOCATION irpSp;
irpSp = IoGetCurrentIrpStackLocation(Irp);   ----我们在该函数中,先获取当前的IRP的位置指针
        FileObject->FileName; ----这个是文件的名称
irpSp->FileObject; ----这个会出现一个FileObject的东东,这个非常的关键,
irpSp->FileObject->FsContext; ----这个网上已经有很多开源的,逆向以后是一个FCB,所谓的文件控制块,后面所有的核心都是围绕这个东东开展,这个东西在用户操作一个文件的时候,文件系统会自动创建出 irpSp->FileObject->FsContext内存,实际上就是该文件的Handle句柄,在没有Close该句柄前,这个irpSp->FileObject->FsContext是不会变的
}
我这里做的测试是,打开一个Text文件,然后编辑新增几个字节,关闭。
        通过打印调试,我们看到sfCreate()有多次进入,在sfCreate()的时候,该FileObject是会变化的,并且此时的 FileObject->FsContext都是 NULL,但是后面出现IRP的read和IRP的write请求的时候,我们找到了其中的一个FileObject, 这个 FileObject->FsContext的指针是不为NULL的,并且Read和Write的两个不同的IRP的请求的指针是一样的。
例如这个日志打印:
sfCreate!-----FileObject=87017428,filepath path=C:\Users\cloud\Desktop\1111.txt, context=00000000, context2=00000000;
pfpRead! equal--!filepath=C:\Users\cloud\Desktop\1111.txt,fileobject=8700D490,context=A339B860
pfpRead! equal--!filepath=C:\Users\cloud\Desktop\1111.txt,fileobject=8700D490, pFCB->OpenCount=4
SfWrite! equal--!filepath=C:\Users\cloud\Desktop\1111.txt,fileobject=886E28C8, context=A339B860
SfWrite! equal--!filepath=C:\Users\cloud\Desktop\1111.txt,fileobject=886E28C8, pFCB->OpenCount=2
也就是说,我们看到不同的IRP请求的FileObject都是不一样的,但是关键的FileObject->Context是一样的,所以我们可以自己创建一个链表,用于Create的时候,通过判断,我们记录对应的文件名称是要加密或者解密的,然后在read和write的时候,找到该文件链表,并且通过将context记录到该链表中,后面就可以通过这个指针是否相同来判断,是否是一个相同的文件流句柄,主要是很多情况下,我们应用层明明只打开了一个文件,但是系统内部会有很多个针对该文件不同的操作,例如不同的IRP_Read还有FastIoRead之类的,所以我们要有手段来识别什么是相同的文件流。
搞定了上面说的相同的文件流的读和写的识别,那么我们接下来就可以针对数据进行处理了。


可以参考好文:
http://blog.csdn.net/zhuhuibeishadiao/article/details/51178901     ---sFilter框架理解
灵魂漫步者
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
minifilter/sfilter较为精确的判断是打开还是新建操作
zhuhuibeishadiao
09-23 2290
写这篇文章的原因是看到一些代码判断不准确, 导致效果很奇怪很奇怪,当时我哭晕在WC. 见过奇奇怪怪的判断,很无语. 于是有了这篇文章. createfile可以新建文件和打开文件 这个不多说了 在文件过滤系统中IRP_MJ_CREATE 怎么判断是open还是create 无论是minifilter还是sfilter, 判断基本都相同,只不过sfilter在完成例程,min...
Data->Iopb->Parameters.Create.Options & FILE_DIRECTORY_FILE 判断是否为路径
vingo888的专栏
02-13 5086
如何在minifilter 判断操作的文件对象是目录还是文件呢?     有很多人发现答案是 Data->Iopb->Parameters.Create.Options &  FILE_DIRECTORY_FILE 是否成立    不过也有很多人发现,上面的方法并不能很好的工作,有时候操作的对象是目录,上面的判断却没有成立。 --------------------------------
IRP请求中判断:文件/目录
07-13 1248
IRP请求中判断:文件/目录#define FAT_NTC_FCB 0x0502#define FAT_NTC_DCB 0x0503#define FAT_NTC_ROOT_DCB 0x0504#define NTFS_NTC_DCB 0x0703#define NT
基于文件过滤驱动文件重定向
问题记事本
06-01 791
转自:http://mzf2008.blog.163.com/blog/static/3559978620114153254458/   NTSTATUS SfCreate (     IN PDEVICE_OBJECT DeviceObject,     IN P
过滤驱动加密文件(代码)
weixin_33729196的博客
11-19 950
转载自http://www.misssir.cn/art/_show.aspx?art=49 摘要:     我想做一个unlocker一样的程序,不管这个文件有没有被使用,先实现删除它。在查资料过程中,就知道了如果不访问磁盘扇区的话,除非写驱动才能做到。奈何时间有限,工作匆忙,一直没有完成。而且忽视了更简便的方法——在别的路径下把修改后的OCX控件重新注册一下就可以了。    ...
tooflat的那段经典代码----文件透明加解密sfilter.rar
11-01
sfilter.rar是一个压缩包,包含了一个名为sfilter.c的源代码文件,很可能就是实现这种透明加解密功能的C语言源代码。 在深入讨论之前,先来理解一下文件透明加解密的概念。透明加解密(Transparent Encryption)是...
微软sfilter源码
07-28
微软的SFilter源码是微软提供的一个用于文件系统过滤驱动的参考实现,它基于Windows操作系统。文件过滤驱动在系统中扮演着重要的角色,允许开发者在文件系统操作(如读取、写入、创建、删除等)之前或之后插入自定义...
PCHunter-1.33
07-04
12.查看(编辑)IE插件、SPI、启动项、服务、Hosts文件、映像劫持、文件关联、系统防火墙规则、IME 13.ObjectType Hook检测和恢复 14.DPC定时器检测和删除 15.MBR Rootkit检测和修复 16.内核对象劫持检测 17.Worker...
PC Hunter(强大的手工杀毒辅助工具)-32位
08-02
12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME 13.ObjectType Hook检测和恢复 14.DPC定时器检测和删除 15.MBR Rootkit检测和修复 16.内核对象劫持检测 17.Worker...
pchunter.zip
02-28
12、查看(编辑)IE插件、SPI、启动项、服务、Hosts文件、映像劫持、文件关联、系统防火墙规则、IME 13、ObjectType Hook检测和恢复 14、DPC定时器检测和删除 15、MBR Rootkit检测和修复 16、内核对象劫持检测 17、...
透明加密技术源代码encrypt_sfilter
12-07
最近3年,国内企业,特别的制造行业,为防止产品研发期间,出现技术资料泄密,而造成的损失状况,而采用的技术保密技术,本文讲详细的论述解决问题的方法...
HIPS(Sfilter
kernweak的博客
06-04 338
文件过滤那么就是相关分发函数的处理 FilterCreate(创建) FilterRead(一般不拦截,加解密处理) FilterWrite(修改,加解密处理) FilterSetInfo(删,重命名,IRP_MJ_SET_INFORMATION) Filterclose(一般不拦截,写关闭拦截) FIlterClean(写关闭) 代码片段 DriverObject->...
《Windows内核安全与驱动编程》-第十一章文件系统的过滤与监控-day6
WocW的博客
05-11 410
11.6 读写操作的过滤 11.6.1 设置一个读处理函数 ​ 文件系统有多种操作,但是读写操作仍然是最重要的。比如杀毒软件对文件内容的读写进行监控,可以达到扫描病毒的目的。简单一点就是,文件在被读取时,杀毒软件扫描其中是否含有病毒特征码,就可以防止一些病毒从硬盘被加载到内存中执行;如果任意文件在被写入到磁盘时,也可以检测其中写入的内容是否含有病毒特征码,这样就可以防止病毒被写入硬盘,也就可以防止硬盘上的文件被感染。 ​ 在之前的代码中已经绑定了文件系统卷,而所有的文件都是保存在卷上的,所以处理截获到的主功
Sfilter过滤驱动框架
zyorz的博客
05-07 1456
原理Sfilter是设备栈绑定的形式绑定的,驱动自己生成一个设备(过滤设备对象),调用系统提供的绑定API,绑定到目标设备上。并返回一个在未绑定之前目标设备所在设备栈的最顶层设备。这样发往下层的IRP或者发往上层的数据都会被过滤设备截获。实现绑定API: IoAttachDevice() IoAttachDeviceToDeviceStackSafe(2000 SP4以及XP以上) IoAtt
sfilter开源驱动分析(一)--文件过滤的基本步骤
jimk1983的专栏
10-24 2305
NT的I/O管理器支持分层的驱动程序模式。         当应用层的CreateFile() (R3层)  --> || NtCreateFile() [I/O管理器在这一层,ntdll.dll]  -->|| 内核驱动层(R0层) ,这里讨论的主要是针对最后的内核驱动层的处理。          当每个IRP被处理的时候,它会经过驱动层中的各个驱动程序,直到最终被某个驱动程序调用IoCo
文件系统过滤驱动sfilter
sunr.
07-27 1110
标 题: 【分享】整理一份我对Windows文件系统过滤驱动sFilter工程代码的详细说明 作 者: tianhz 时 间: 2012-06-19,18:32:07 链 接: http://bbs.pediy.com/showthread.php?t=152338 我平时很忙,很少发表主题。我在工作的时候,我身边的很多同事都不停地问我有关Windows文件系统过滤驱动的问题。他...
Sfilter过滤
kernweak的博客
06-03 860
文件监控技术分为hook,过滤,回调。 文件监控系统就是绑定和过滤,进程的各种操作被封装成一个IRP,再发给驱动的设备对象,驱动的设备对象通过各种分发函数处理操作,过滤就是在设备对象上面再绑定一个新的设备对象,先经过我们的设备对象。在去原来的设备对象。 分层驱动框架与过滤 irp从上往下经过不同设备栈,先经过文件过滤驱动设备(由文件过滤驱动创建),文件卷设备(盘符C盘D盘这些),磁盘设备...
整理一份我对Windows文件系统过滤驱动sFilter工程代码的详细说明(精华侨)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-09 5912
标 题: 【分享】整理一份我对Windows文件系统过滤驱动sFilter工程代码的详细说明 作 者: tianhz 时 间: 2012-06-19,18:32:07 链 接: http://bbs.pediy.com/showthread.php?t=152338 我平时很忙,很少发表主题。我在工作的时候,我身边的很多同事都不停地问我有关Windows文件系统过滤驱动的问题。他们中
Windows文件系统过滤驱动开发教程升级版:sfilter范例详解
在第一版的基础上,作者将原有的自编代码替换为微软标准的文件过滤驱动范例sfilter,以便提供更加符合业界最佳实践的代码示例。 章节1.改版序讲述了原版文章的背景和此次更新的原因,即为了满足读者对高质量代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值