读源码笔记--文件过滤驱动FileSpy第3篇 -- 绑定VDO

最新推荐文章于 2019-06-03 03:26:58 发布
最新推荐文章于 2019-06-03 03:26:58 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: c++

在第2篇已经看到,SpyFsNotification中成功绑定了文件系统的控制设备对象CDO,然后判断编译版本时,如果是XP及以后的OS版本,就直接枚举文件系统下的所有的已经挂载了的卷设备,并绑定他们。

 

在看函数SpyEnumerateFileSystemVolumes之前,复习前面2篇的过程。

DriverEntry里面主要做4件事:

1:创建设备,该设备用来与应用层程序通信和修改驱动内部配置所用。

2:初始化DriverObject的派遣例程和FastIO,判断编译版本,决定是否注册FS_FILTER_CALLBACKS的过滤回调。

3:注册一个文件系统变动回调函数。IoRegisterFsRegistrationChange实现。

4:初始化一些全局变量,内存,锁等。

IoRegisterFsRegistrationChange变动回调里的函数主要做下面的事:

1:根据设备对象DeviceObject获取设备对象名。

2:调用绑定文件系统控制设备函数SpyAttachToFileSystemDevice或解除绑定文件系统控制设备函数SpyDetachFromFileSystemDevice

SpyAttachToFileSystemDevice主要做如下事:

1:根据DeviceObject的成员DriverObject获取驱动名称,判断是否是文件系统的识别器。

2:创建设备,并绑定文件系统控制设备对象CDO。

3:如果是XP以后的OS,就调用SpyEnumerateFileSystemVolumes 枚举所有的卷设备,并绑定他们。

 

总结下思路为:

先绑定文件系统控制设备对象CDO,然后绑定卷设备。什么时候绑定文件系统控制设备对象呢?就是在文件系统变动回调函数里面,当注册了文件系统变动回调函数后,文件系统将被重新激活,这时变动回调将被调用,而变动回调函数的DeviceObject参数,就是指的文件系统控制设备对象,也就是我们要绑定的设备对象。

步骤:

1:设置变动回调函数。在变动回调里面绑定文件系统控制设备对象CDO。

2:绑定卷设备。

 

现在来看看这个枚举卷设备,并绑定卷设备的函数SpyAttachDeviceToDeviceStack(fspyLib.c中)是怎么实现的。

NTSTATUS
SpyEnumerateFileSystemVolumes (
    __in PDEVICE_OBJECT FSDeviceObject
    )

{

PDEVICE_OBJECT newDeviceObject;
PFILESPY_DEVICE_EXTENSION newDevExt;
PDEVICE_OBJECT *devList;
PDEVICE_OBJECT storageStackDeviceObject;
NTSTATUS status;
PNAME_CONTROL devName;
ULONG numDevices;
ULONG i;
BOOLEAN hasLock = FALSE;

PAGED_CODE();

 

//

//  调用IoEnumerateDeviceObjectList获取DriverObject下有多少个DeviceObject,便于后面开辟内存空间。返回状态为

//  STATUS_BUFFER_TOO_SMALL,如果没有得到错误的返回码,说明这里没有设备需要返回。

//  gSpyDynamicFunctions是存放动态函数地址的全家变量。

//

    ASSERT( NULL != gSpyDynamicFunctions.EnumerateDeviceObjectList );
    status = (gSpyDynamicFunctions.EnumerateDeviceObjectList)(
                                    FSDeviceObject->DriverObject,
                                    NULL,
                                    0,
                                    &numDevices );

    if (NT_SUCCESS( status )) {

        return status;
    }

    ASSERT(STATUS_BUFFER_TOO_SMALL == status);

//

//  为已知的设备开辟内存空间进行存储。额外增加8字节。

// 

    numDevices += 8;        //grab a few extra slots

    devList = ExAllocatePoolWithTag( NonPagedPool,
                                     (numDevices * sizeof(PDEVICE_OBJECT)),
                                     FILESPY_POOL_TAG );
    if (NULL == devList) {

        return STATUS_INSUFFICIENT_RESOURCES;
    }

//

//  调用IoEnumerateDeviceObjectList获取DriverObject下的设备链中的详细信息。返回PDEVICE_OBJECT的数组。

//

    status = (gSpyDynamicFunctions.EnumerateDeviceObjectList)(
                    FSDeviceObject->DriverObject,
                    devList,
                    (numDevices * sizeof(PDEVICE_OBJECT)),
                    &numDevices );

    if (!NT_SUCCESS( status ))  {

        ExFreePoolWithTag( devList, FILESPY_POOL_TAG );
        return status;
    }

//

//  开辟空间存放设备名称

//

    status = NLAllocateNameControl( &devName, &gFileSpyNameBufferLookasideList );

    if (!NT_SUCCESS( status )) {

//

//  减少设备对象的计数,设备对象计数的增加,是由于调用了IoEnumerateDeviceObjectList。该函数会增加设备对象的计数。

//

        for (i=0; i<numDevices; i++) {

            ObDereferenceObject( devList[i] );
        }

        ExFreePoolWithTag( devList, FILESPY_POOL_TAG );
        goto SkipAttach;
    }

 

//

//  遍历由IoEnumerateDeviceObjectList返回的数组,如果需要,则绑定他们。

//

    for (i=0; i < numDevices; i++) {

        devName->Name.Length = 0;

        storageStackDeviceObject = NULL;
        newDeviceObject = NULL;

        try {

//

//  下面3种情况不绑定:

//  1:是本设备,因为本函数是在文件系统变动回调里面调用。本函数的参数FSDeviceObject就是变动回调函数里面的DeviceObject,

//        该参数是一个文件系统控制设备对象CDO。

//  2:与本设备类型不符合。

//  3:已经被绑定过的设备。

//   函数SpyIsAttachedToDevice就是判断是否被绑定过,返回值:TRUE,表示绑定过;FASLE,表示未绑定。

//  SpyIsAttachedToDevice思路比较简单,进入该函数后,判断操作系统版本,XP以后调用:SpyIsAttachedToDeviceWXPAndLater

//  2K以前调用:SpyIsAttachedToDeviceW2K

//

//  函数:SpyIsAttachedToDeviceWXPAndLater

//            1:调用IoGetAttachedDeviceReference获取设备栈顶的设备对象。

//            2:利用宏IS_FILESPY_DEVICE_OBJECT来判断这个设备对象DeviceObject是否是FileSpy的设备。是返回TRUE。

//            3:不是,则调用IoGetLowerDeviceObject,获取1中设备的下一层设备(同一个设备堆栈)。

//            4:跳至2步。

//  函数:SpyIsAttachedToDeviceW2K

//            1:利用宏IS_FILESPY_DEVICE_OBJECT来判断这个设备对象DeviceObject是否是FileSpy的设备。是返回TRUE。

//            2:不是,则利用DEVICE_OBJECT的成员:AttachedDevice来获取绑定到当前这个设备对象的过滤驱动的设备对象。

//            3:跳至1步。

//

            if ((devList[i] == FSDeviceObject) ||
                (devList[i]->DeviceType != FSDeviceObject->DeviceType) ||
                SpyIsAttachedToDevice( devList[i], NULL )) {

                leave;
            }

// 

//  驱动这个设备是否有名称,如果有名称,或者名称获取失败,则不绑定。

//  有名称则说明是文件系统控制设备对象CDO。

//  函数:SpyGetBaseDeviceObjectName

//             调用IoGetDeviceAttachmentBaseRef来获取设备栈底的设备对象,然后调用ObQueryNameString来获取设备的名称。

//     注意:函数IoGetDeviceAttachmentBaseRef是动态的,存于全局变量:gSpyDynamicFunctions中的。

//

            status = SpyGetBaseDeviceObjectName( devList[i], devName );

            if (!NT_SUCCESS(status) || (devName->Name.Length > 0)) {

                leave;
            }

// 

//  获取一个与当前这个文件系统设备对象有关的磁盘设备对象,只绑定已经拥有一个磁盘设备对象的文件系统设备对象。

//  这里调用IoGetDiskDeviceObject来获取一个与文件系统设备对象有关的磁盘设备对象。

//     注意:函数IoGetDiskDeviceObject是动态的,存于全局变量:gSpyDynamicFunctions中的。

//

            ASSERT( NULL != gSpyDynamicFunctions.GetStorageStackDeviceObject );
            status = (gSpyDynamicFunctions.GetStorageStackDeviceObject)( devList[i],
                                                                         &storageStackDeviceObject );

            if (!NT_SUCCESS( status )) {

                storageStackDeviceObject = NULL;
                leave;
            }

// 

// 是一个磁盘设备对象,创建新的设备对象,准备绑定

//

            status = IoCreateDevice( gFileSpyDriverObject,
                                 sizeof( FILESPY_DEVICE_EXTENSION ),
                                 (PUNICODE_STRING) NULL,
                                 devList[i]->DeviceType,
                                 0,
                                 FALSE,
                                 &newDeviceObject );

            if (!NT_SUCCESS( status )) {

                SPY_LOG_PRINT( SPYDEBUG_ERROR,
                               ("FileSpy!SpyEnumberateFileSystemVolumes: Error creating volume device object, status=%08x\n",
                                status) );
                newDeviceObject = NULL;
                leave;
            }

// 

//  初始化设备拓展的头结构体,主要完成如下功能:设置AttachedToDeviceObject成员为NULL,

//  保存当前新创建的设备对象,上面获取到的设备堆栈栈底的设备对象。函数:NLInitDeviceExtensionHeader中完成

//

            newDevExt = newDeviceObject->DeviceExtension;

            NLInitDeviceExtensionHeader( &newDevExt->NLExtHeader,
                                         newDeviceObject,
                                         storageStackDeviceObject );

            newDevExt->Flags = 0;

// 

//  初始化用户名称缓冲区

//

            RtlInitEmptyUnicodeString( &newDevExt->UserNames, NULL, 0 );

#if WINVER >= 0x0600
            InitializeListHead( &newDevExt->TxListHead );
            ExInitializeFastMutex( &newDevExt->TxListLock );
#endif

// 

//  获取设备名称,重复利用NAME_CONTROL

//

            devName->Name.Length = 0;

            status = NLGetObjectName( storageStackDeviceObject,
                                      devName );

            if (!NT_SUCCESS( status )) {

                leave;
            }

// 

//  将名称复制到设备拓展中,因为这些内存从非分页内存中开辟的,所以他们一直都是可用的。

//  函数:NLAllocateAndCopyUnicodeString

//            1:从非分页内存中开辟空间。

//            2:将设备名称拷入这段空间。

//

            status = NLAllocateAndCopyUnicodeString( &newDevExt->NLExtHeader.DeviceName,
                                                     &devName->Name,
                                                     FILESPY_DEVNAME_TAG );

            if (!NT_SUCCESS(status)) {

                leave;
            }

// 

//  在绑定最后的时候,再测试下,该设备是否被绑定过。

//  这次测试加了一个锁。如果没被绑定,则执行下面的绑定过程,否则,直接返回。

//

            ExAcquireFastMutex( &gSpyAttachLock );
            hasLock = TRUE;

            if (SpyIsAttachedToDevice( devList[i], NULL )) {

                leave;
            }

//

//  绑定这个设备。

//  函数:SpyAttachToMountedDevice将在下面将。这个函数的功能就是完成绑定一个文件系统卷设备的操作。

//

            status = SpyAttachToMountedDevice( devList[i],
                                               newDeviceObject );

//

//  处理错误,继续循环处理。

//

            if (!NT_SUCCESS( status )) {

                leave;
            }

//

//  成功绑定之后,清楚初始化的flag,DO_DEVICE_INITIALIZING。

//  允许其他驱动绑定我们的设备对象。

//

            ClearFlag( newDeviceObject->Flags, DO_DEVICE_INITIALIZING );

//

//  释放锁。

//

            ExReleaseFastMutex( &gSpyAttachLock );
            hasLock = FALSE;

//

//  获取设备的DOS名称,这个操作不在上面完成,是因为加了锁。

//

            NLGetDosDeviceName( newDeviceObject,
                                &newDevExt->NLExtHeader );

//

//  设置新生成的设备对象为NULL,后面就不会释放这个指针,这个新设备对象已经保存到了设备拓展里面。

//  见函数:NLInitDeviceExtensionHeader

//

            newDeviceObject = NULL;

        } finally {

            if (hasLock) {

                ExReleaseFastMutex( &gSpyAttachLock );
            }

//

//  减少设备对象的计数,这个计数有函数IoGetDiskDeviceObject增加的。

//  成功绑定后,就减少该设备对象的计数。一旦成功绑定到devList[i],I/O管理器会确定设备栈的下层设备,

//  会一直存在,一直到这个文件系统栈被卸掉。

//

            if (storageStackDeviceObject != NULL) {

                ObDereferenceObject( storageStackDeviceObject );
            }

//

//  新创建的设备对象,如果还存在,说明绑定失败,直接清除其初始化内容,删除该新建的设备。

//

            if (newDeviceObject != NULL) {

                SpyCleanupMountedDevice( newDeviceObject );
                IoDeleteDevice( newDeviceObject );
            }

//

//  减少设备对象的计数,这个计数有函数IoEnumerateDeviceObjectList增加的。

//

            ObDereferenceObject( devList[i] );
        }
    }

    NLFreeNameControl( devName, &gFileSpyNameBufferLookasideList );

SkipAttach:

//

//  忽略所有接受到的错误,如果得到一个错误,就只是简单的放弃绑定卷设备。

//

    status = STATUS_SUCCESS;

//

//  释放空间,返回。

//

    ExFreePoolWithTag( devList, FILESPY_POOL_TAG );

    return status;

}

junjie1595
关注
专栏目录
filespy驅動程序
03-02
抽取檔案流動,支援xp版本 filespy filter driver 原代碼
FileSpy:Kotlin项目,可用于从新插入到窗口中的可移动驱动器以及部署了该软件的macOS计算机(经过一些修改)中窃取与给定模式匹配的文件
04-30
对于中文版本,请参见 对计算机管理员有用的工具 请注意,对于侵犯隐私权,我不承担任何责任。 您同意对使用此程序的所有后果负责。 启动该程序,插入可移动驱动器,然后将扫描所有内容并将某些文件复制到您的计算机。 当您知道您的教授经常将考试结果存储在其USB闪存中,但是尽管您强烈希望获得考试的结果时,他们却从未将结果提供给任何人,这特别有用。 从那时起,当他们将自己的闪存盘插入教室中用于PPT的计算机时,您就可以拥有所需的一切。 编译的依存关系 Kotlin JUnit 4(用于测试) 定制和数据存储 包括被盗文件和设置在内的所有内容都存储在C:\ ProgramData \ Local \ FileSpy中。 当前不支持MacOS,但需要进行一些修改才能使其运行。 FileSpy通过使用patterns.txt正则表达式检查文件名来决定是否需要复制文件。 一行换一个模式。 享受。
源码笔记--文件过滤驱动FileSpy第1 -- DriverEntry
junjie1595的专栏
11-18 1756
今天只FileSpy的DriverEntry,位于源文件filespy.c。 // // 全局变量. // ULONG gFileSpyDebugLevel = DEFAULT_FILESPY_DEBUG_LEVEL; #if WINVER >= 0x0501 ULONG gFileSpyAttachMode = FILESPY_ATTACH_ALL_VOLUMES; #
源码笔记--文件过滤驱动FileSpy第4 -- 关于IRP_MJ_FILE_SYSTEM_CONTROL
junjie1595的专栏
11-18 2147
前面3,已经完了绑定一个文件系统被挂载时,绑定的操作。这里得说一下总体的框架视角下,需要绑定的东西。   1:变动回调里实现绑定,这个绑定文件系统被挂载或取消时,需要实现的。 2:变动回调已经掉过了,就是说文件过滤驱动已经加载,并运行。新来某个文件系统的储存设备,也需要绑定。   这里变动回调里面已经绑定了已经存在的卷设备,那么新加上来的存储设备,如何绑定?看下
FileSpy 1.3.4老朽痴拙汉化版(.net电脑文件监视器)
10-02
FileSpy 1.3.4老朽痴拙汉化版(.net电脑文件监视器).您可以监视和记录您的计算机的文件系统,如:创建文件,更改文件,文件已被重命名,文件被删除,和许多强大的功能 !由于该程序主要目的是找出程序存储的数据,您可以有限制有针对性的(仅查找exe扩展名的文件)进行目标监控。最有可能的用途是告诉当您的电脑从互联网上下载的间谍软件,并告诉你时间和它存储的文件夹. Mit FileSpy kannst du das Dateisystem deines Computers überwachen und es meldet sich wenn: Eine Datei erstellt wurde Eine Datei ver?ndert wurde Eine Datei gel?scht wurde Eine Datei umbenannt wurde Und viele tolle Funktionen! Da das Programm in erster Linie dafür gedacht ist herauszufinden, wo Programme ihre Daten abspeichern, kann man die überwachung gezielt einschr?nken. FileSpy is an open source program that watches and logs files that has changed, deleted, created, and renamed. Most likely use of this is to tell when your computer has downloaded spywares from the internet and tell you the time and folder it is stored
前端开源库-vdo
08-29
这个文件包含了VDO库的源码,你可以查看其内部结构,了解如何实现JSX解析和模板编译。此外,它可能还包括示例、文档和测试用例,帮助开发者快速上手并熟悉VDO的API。 总的来说,VDO是一个面向前端开发者的强大工具...
libblockdev-vdo-devel-2.24-5.el8.i686.rpm
02-28
rpm安装包
libblockdev-vdo-devel-2.24-5.el8.x86_64.rpm
02-28
rpm安装包
libblockdev-vdo-devel-2.24-7.el8.i686.rpm
12-06
官方离线安装包,亲测可用
libblockdev-vdo-devel-2.24-7.el8.aarch64.rpm
12-06
官方离线安装包,亲测可用
FileSpy x64
08-17
windows 文件系统IRP抓包工具, 包括64位机的版本, 解压后, 选择要监视的卷就可以抓取IRP了
FileSpy:监控您的计算机-开源
05-07
使用FileSpy,您可以监视计算机的文件系统,并且在以下情况时通知您:创建文件,修改文件,删除文件,重命名文件以及许多强大的功能! 由于该程序主要用于查找程序将数据保存在何处,因此可以有针对性地限制监视。 (仅查找带有EXE扩展名的文件...)
过滤文件驱动(可以成功监控文件的创建,杀软的第一步)
08-24
监控C盘所有xls文件的生成并阻止,提供一个HOOK SSDT的通用框架
FileSpy文件过滤分析工具
05-12
FileSpy 可以很详细的监控到文件的访问记录,包括每个IRP
源码笔记--文件过滤驱动FileSpy第2 -- 绑定CDO
junjie1595的专栏
11-18 1448
第一中,已经解了DriverEntry这个函数,函数里面就是做了一些初始化工作,创建用于通信的设备,设置各种回调,注册文件系统变动回调等等。 今天接着看filespy.c中的SpyFsNotification函数。该函数是IoRegisterFsRegistrationChange注册的文件系统变动回调函数。先看这个的理由如下: 在没看任何代码前,我的思维是:首先绑定系统中的所有物
Sfilter过滤
kernweak的博客
06-03 877
文件监控技术分为hook,过滤回调文件监控系统就是绑定过滤,进程的各种操作被封装成一个IRP,再发给驱动的设备对象,驱动的设备对象通过各种分发函数处理操作,过滤就是在设备对象上面再绑定一个新的设备对象,先经过我们的设备对象。在去原来的设备对象。 分层驱动框架与过滤 irp从上往下经过不同设备栈,先经过文件过滤驱动设备(由文件过滤驱动创建),文件卷设备(盘符C盘D盘这些),磁盘设备...
IoEnumerateDeviceObjectList 枚举驱动的所有设备 文件过滤驱动 windows内核开发
baund的专栏
12-10 3234
IoEnumerateDeviceObjectList函数,用来枚举某驱动下的所有设备,主要是遍历deviceobject->nextobject字段,该函数第一次可以将DeviceObjectListSize传递0,来获取实际的设备个数,第二次调用,再获取整个设备列表,实现如下: 在文件过滤驱动中,常用该函数来枚举某文件系统下的所有设备,然后根据名字来区别是卷设备还是控制设备,空名字即
设备栈
ruanben的专栏
02-22 1029
栈结构栈顶栈底挂接 device移除 device 1. 栈结构 设备栈(Device Stack)结构与内存中的栈类似,但是 device stack 中的 entry 由 device object 中的 AttachedDevice 值的连接。 如下图所示: 并且由每个 device 的 DeviceExtension.AttachedTo 值指向下一层的 device。从而形成
Kinco-K5 PLC硬件手册:小型一体化PLC详解
最后,手册还介绍了DI/O扩展模块,包括混合型的DI/O模块,如DI4×DC24VDO4×DC24V和DI4×DC24VDO4×继电器,这些模块提供了灵活的输入输出组合,以适应不同的应用需求。 总体而言,《Kinco-K5 PLC硬件手册》是了解...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值