驱动开发:内核中的文件回调

已于 2023-10-31 15:24:00 修改
阅读量1.7w 收藏 2
点赞数
分类专栏: 《Windows 内核安全编程技术实践》 文章标签: 驱动开发 Windows 微软技术
于 2019-11-01 14:53:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyshark_csdn/article/details/124939310
版权

无论在用户层还是内核层,操作文件的流程基本一致,除了在API函数上的区别(用户层调用用户层API,内核层调用内核API)以外其他基本一致,先讲解一下文件系统执行的流程。

以NTFS文件系统为例:假设我们要读取文件,他们最终都会被转换为IRP(I/O Request Package)请求,该请求会被分发到 NTFS.sys 驱动中的 IRP_MJ_READ 分发函数里,NTFS.sys 驱动经过处理后,继续将IRP请求传递给CLASSPNP.sys磁盘类驱动的 IRP_MJ_READ 分发函数,磁盘类驱动处理完毕后,又把 IRP 传给磁盘ATAPI.SYS小端口驱动的 IRP_MJ_SCSI 分发函数中,依靠 HAL.DLL 发送相关的硬件中断请求,而硬件中断则负责完成实际的磁盘寻址,此时数据就真的从硬盘里读取了出来,然后再按照相反的方向把数据返回到调用者。

简单的保护文件

代码实现了Windows内核模式驱动程序,其主要功能是在加载时打开或创建名为“C:\Dbgview.exe”的文件,并在卸载时关闭该文件句柄。此驱动程序还使用DbgPrint函数输出调试消息。虽然代码表明它在进行某种保护操作,但需要更多上下文信息才能确定其详细目的和功能。

#include <ntddk.h>

HANDLE FileHandle = NULL;
VOID UnDriver(PDRIVER_OBJECT driver)
{
	if (FileHandle != NULL)
	{
		DbgPrint("保护已关闭...");
		ZwClose(FileHandle);
	}
}
NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	IO_STATUS_BLOCK OldStatus;
	
	OBJECT_ATTRIBUTES Object_Attach;
	UNICODE_STRING Old_Ufile_Name = RTL_CONSTANT_STRING(L"\\??\\C:\\Dbgview.exe");
	InitializeObjectAttributes(&Object_Attach, &Old_Ufile_Name, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, NULL);
	ZwCreateFile(&FileHandle, GENERIC_READ, &Object_Attach, &OldStatus, 0, FILE_ATTRIBUTE_NORMAL, FILE_SHARE_READ, 
		FILE_OPEN_IF, FILE_NON_DIRECTORY_FILE | FILE_RANDOM_ACCESS | FILE_SYNCHRONOUS_IO_NONALERT, 0, 0);
	DbgPrint("保护已启动..");
	Driver->DriverUnload = UnDriver;
	return STATUS_SUCCESS;
}

内核中删除文件

普通的内核删除文件,不是强制删除。这段代码的主要功能是在加载时删除指定文件 "c://lyshark.log"。当驱动程序卸载时,它会调用 UnDriver 函数,尽管在这个示例中 UnDriver 函数没有实际操作。请注意,在实际应用中,内核模式驱动程序需要更多的安全和错误处理来确保文件操作的成功和安全性。

#include <ntddk.h>
#include <windef.h>

void ZwDeleteFileFolder(WCHAR *FileName)
{
	NTSTATUS Status;
	OBJECT_ATTRIBUTES ObjectAttr;
	UNICODE_STRING UniFileName;
	// 把WCHAR*转化为 UNICODE_STRING
	RtlInitUnicodeString(&UniFileName, FileName);
	InitializeObjectAttributes(&ObjectAttr,&UniFileName,
		OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,NULL,NULL);
	Status = ZwDeleteFile(&ObjectAttr);
}

VOID UnDriver(PDRIVER_OBJECT driver){}
NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	ZwDeleteFileFolder("c://lyshark.log");
	Driver->DriverUnload = UnDriver;
	return STATUS_SUCCESS;
}


对象回调监控文件访问

#include <ntddk.h>
#include <string.h>

PVOID obHandle;
typedef struct _OBJECT_TYPE_INITIALIZER
{
	/*0x000*/     UINT16       Length;
	union
	{
		/*0x002*/         UINT8        ObjectTypeFlags;
		struct
		{
			/*0x002*/             UINT8        CaseInsensitive : 1;
			/*0x002*/             UINT8        UnnamedObjectsOnly : 1;
			/*0x002*/             UINT8        UseDefaultObject : 1;
			/*0x002*/             UINT8        SecurityRequired : 1;
			/*0x002*/             UINT8        MaintainHandleCount : 1;
			/*0x002*/             UINT8        MaintainTypeList : 1;
			/*0x002*/             UINT8        SupportsObjectCallbacks : 1;
		};
	};
	/*0x004*/     ULONG32      ObjectTypeCode;
	/*0x008*/     ULONG32      InvalidAttributes;
	/*0x00C*/     struct _GENERIC_MAPPING GenericMapping;
	/*0x01C*/     ULONG32      ValidAccessMask;
	/*0x020*/     ULONG32      RetainAccess;
	/*0x024*/     enum _POOL_TYPE PoolType;
	/*0x028*/     ULONG32      DefaultPagedPoolCharge;
	/*0x02C*/     ULONG32      DefaultNonPagedPoolCharge;
	/*0x030*/     PVOID DumpProcedure;
	/*0x038*/     PVOID OpenProcedure;
	/*0x040*/     PVOID CloseProcedure;
	/*0x048*/     PVOID DeleteProcedure;
	/*0x050*/     PVOID ParseProcedure;
	/*0x058*/     PVOID SecurityProcedure;
	/*0x060*/     PVOID QueryNameProcedure;
	/*0x068*/     PVOID OkayToCloseProcedure;
}OBJECT_TYPE_INITIALIZER, *POBJECT_TYPE_INITIALIZER;

typedef struct _EX_PUSH_LOCK                 // 7 elements, 0x8 bytes (sizeof)
{
	union                                    // 3 elements, 0x8 bytes (sizeof)
	{
		struct                               // 5 elements, 0x8 bytes (sizeof)
		{
			/*0x000*/             UINT64       Locked : 1;         // 0 BitPosition
			/*0x000*/             UINT64       Waiting : 1;        // 1 BitPosition
			/*0x000*/             UINT64       Waking : 1;         // 2 BitPosition
			/*0x000*/             UINT64       MultipleShared : 1; // 3 BitPosition
			/*0x000*/             UINT64       Shared : 60;        // 4 BitPosition
		};
		/*0x000*/         UINT64       Value;
		/*0x000*/         VOID*        Ptr;
	};
}EX_PUSH_LOCK, *PEX_PUSH_LOCK;

typedef struct _MY_OBJECT_TYPE
{
	/*0x000*/     struct  _LIST_ENTRY TypeList;
	/*0x010*/     struct  _UNICODE_STRING Name;
	/*0x020*/     VOID*   DefaultObject;
	/*0x028*/     UINT8   Index;
	/*0x029*/     UINT8   _PADDING0_[0x3];
	/*0x02C*/     ULONG32 TotalNumberOfObjects;
	/*0x030*/     ULONG32 TotalNumberOfHandles;
	/*0x034*/     ULONG32 HighWaterNumberOfObjects;
	/*0x038*/     ULONG32 HighWaterNumberOfHandles;
	/*0x03C*/     UINT8   _PADDING1_[0x4];
	/*0x040*/     struct _OBJECT_TYPE_INITIALIZER TypeInfo;
	/*0x0B0*/     struct _EX_PUSH_LOCK TypeLock;
	/*0x0B8*/     ULONG32      Key;
	/*0x0BC*/     UINT8        _PADDING2_[0x4];
	/*0x0C0*/     struct _LIST_ENTRY CallbackList;
}MY_OBJECT_TYPE, *PMY_OBJECT_TYPE;


// 要监控文件,首先要文件对象支持对象回调
VOID EnableObType(POBJECT_TYPE ObjectType)
{
	PMY_OBJECT_TYPE myobtype = (PMY_OBJECT_TYPE)ObjectType;
	myobtype->TypeInfo.SupportsObjectCallbacks = 1;
}

OB_PREOP_CALLBACK_STATUS preFileCallBack(PVOID RegistrationContext, POB_PRE_OPERATION_INFORMATION OperationInformation)
{
	UNICODE_STRING DosName;
	PFILE_OBJECT fileo = OperationInformation->Object;
	HANDLE CurrentProcessId = PsGetCurrentProcessId();
	UNREFERENCED_PARAMETER(RegistrationContext);

	if (OperationInformation->ObjectType != *IoFileObjectType) { return OB_PREOP_SUCCESS; }
	//过滤无效指针
	if (fileo->FileName.Buffer == NULL ||
		!MmIsAddressValid(fileo->FileName.Buffer) ||
		fileo->DeviceObject == NULL ||
		!MmIsAddressValid(fileo->DeviceObject))
		return OB_PREOP_SUCCESS;

	// 此处可添加过滤规则,过滤掉无效文件名
	if (!_wcsicmp(fileo->FileName.Buffer, L"\\Endpoint") ||
		!_wcsicmp(fileo->FileName.Buffer, L"?") ||
		!_wcsicmp(fileo->FileName.Buffer, L"\\.\\.") ||
		!_wcsicmp(fileo->FileName.Buffer, L"\\"))
		return OB_PREOP_SUCCESS;

	if (wcsstr(_wcslwr(fileo->FileName.Buffer), L".exe")) // 如果包含有exe文件,则触发
	{
		DbgPrint("当前ID= %ld ---> 路径= %wZ", (ULONG64)CurrentProcessId, &fileo->FileName);
	}
	return OB_PREOP_SUCCESS;
}

VOID UnDriver(PDRIVER_OBJECT driver)
{
	UNREFERENCED_PARAMETER(driver);
	ObUnRegisterCallbacks(obHandle);
}
NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	NTSTATUS status = STATUS_SUCCESS;
	OB_CALLBACK_REGISTRATION obReg;
	OB_OPERATION_REGISTRATION opReg;

	EnableObType(*IoFileObjectType);
	memset(&obReg, 0, sizeof(obReg));
	obReg.Version = ObGetFilterVersion();
	obReg.OperationRegistrationCount = 1;
	obReg.RegistrationContext = NULL;
	RtlInitUnicodeString(&obReg.Altitude, L"321000");
	obReg.OperationRegistration = &opReg;
	memset(&opReg, 0, sizeof(opReg));
	opReg.ObjectType = IoFileObjectType;
	opReg.Operations = OB_OPERATION_HANDLE_CREATE | OB_OPERATION_HANDLE_DUPLICATE;
	opReg.PreOperation = (POB_PRE_OPERATION_CALLBACK)&preFileCallBack;
	status = ObRegisterCallbacks(&obReg, &obHandle);
	
	if (!NT_SUCCESS(status))
		status = STATUS_UNSUCCESSFUL;
	Driver->DriverUnload = UnDriver;
	return status;
}
微软技术分享
关注
专栏目录
Linux驱动开发: FrameBuffe(LCD)驱动开发
09-07 4323
一、FrameBuffer 帧缓冲设备的原理 1.1 概念 在linux系统LCD这类设备称为帧缓冲设备,英文frameBuffer设备。 frameBuffer 是出现在2.2.xx 内核的一种驱动程序接口。 帧缓冲(framebuffer)是Linux 系统为显示设备提供的一个接口,它将显示缓冲区抽象,屏蔽图像硬件的底层差异,允许上层应用程序在图形模式下直接对显示缓冲区进行写操作。用户不必关心物理显示缓冲区的具体位置及存放方式,这些都由帧缓冲设备驱动本身来完成。 framebuffer
Linux驱动开发: USB驱动开发
08-24 7355
一、USB简介 1.1 什么是USB? USB是连接计算机系统与外部设备的一种串口总线标准,也是一种输入输出接口的技术规范,被广泛地应用于个人电脑和移动设备等信息通讯产品,USB就是简写,文叫通用串行总线。最早出现在1995年,伴随着奔腾机发展而来。自微软Windows 98加入对USB接口的支持后,USB接口才推广开来,USB设备也日渐增多,如数码相机、摄像头、扫描仪、游戏杆、打印机、键盘、鼠标等等,其应用最广的就是摄像头和U盘了。 USB包括老旧的USB 1.1标准...
Win64 驱动内核编程-14.回调监控文件
天使也掉毛
03-12 3709
回调监控文件     使用 ObRegisterCallbacks 实现保护进程,其实稍微 PATCH 下内核,这个函数还能实现文件操作监视。但可惜只能在 WIN7X64 上用。因为在 WIN7X64 上 PATCH 对象结构的成员(ObjectType->TypeInfo.SupportsObjectCallbacks)是合法的,在 WIN8X64 以及之后系统上会触发 PATCHGUARD。
内核回调
weixin_30794491的博客
10-15 322
相对于各种HOOK的安全性、稳定性问题,我更喜欢使用回调来做各种监视 虽然回调函数获取各种信息的时间偏后于先手HOOK获取各种信息的时间,而且不一定可以拦截到什么,但是这更安全。 PsSetCreateProcessNotifyRoutine 进程创建回调(它的回调运行的时候,进程应该已经被创建了,但是还没有跑起来,所以这里可以实现拦截进程创建的效果) PsSetCreat...
驱动开发内核监控FileObject文件回调
最新发布
CSDN
10-28 6832
以此来实现对文件的监控,文件过滤驱动不仅仅可以用来监控文件的打开,还可以用它实现对文件的保护,一旦驱动加载则文件是不可被删除和改动的。开关,并定义一些微软结构,如下是我们所需要的公开结构体,可在微软官方或WinDBG获取到最新的,将其保存为。运行这个驱动程序,当系统有新文件被加载时则自动输出该文件所属进程PID以及该文件的详细路径。属性的驱动来说自然就支持文件路径转换,当系统文件被加载则自动执行。与进程线程回调有少许的不同,文件回调需要开启驱动的。文章使用的方法是一致的,首先判断。
NtTraceControl内核回调
如鹿渴慕泉水的专栏
09-11 530
__int64 __fastcall NtTraceControl(unsigned int a1, unsigned int *a2, unsigned int a3, void *a4, unsigned int Length, _DWORD *a6) { unsigned int *v6; // r13 unsigned int v7; // er14 char *v8; // r12 _QWORD *v9; // rsi __int64 v10; // rbx __int64
内核文件操作
chm880910的专栏
04-19 1248
一 内核文件操作1.filp_open()打开文件struct file * filp_open(const char * name, int open_mode, int mode) 参数说明: name:要打开或创建的文件名(包含路径) open_mode:文件打开方式,O_CREAT,O_RDWR,ORDONLY等。 mode:创建文件时使用,设置文件权限,其他情况可设为02.文件ker...
Windows内核安全与驱动开发 随书源码.rar
06-18
Windows内核安全与驱动开发》是一本深入探讨Windows操作系统内核驱动程序开发的专业书籍。随书源码rar文件提供了书所讲解的各种实例代码,是学习和理解Windows内核安全以及驱动编程的重要辅助资源。这里我们将...
Linux设备驱动开发详解:基于最新的Linux4.0内核,linux设备驱动开发详解pdf,LINUX源码.zip
10-15
在Linux 4.0内核的背景下,驱动开发涉及到一系列关键概念和技术,包括内核结构、设备模型、I/O管理、断处理、DMA传输、设备文件系统以及模块化等。 首先,了解Linux内核的基本结构至关重要。Linux内核主要包括...
驱动开发之磁盘文件监控.sys驱动程序.zip
01-27
在IT行业驱动开发是一项核心技能,特别是在操作系统与硬件交互的层面。本压缩包文件"驱动开发之磁盘文件监控.sys驱动程序.zip"包含了关于如何开发一个用于监控磁盘文件写操作的系统驱动的详细资料。下面将...
2.内核回调机制
My classmates
11-07 2278
有谁调用了窗口过程? GetMessage()在处理SentMessagesListHead消息时 DispatchMessage(&amp;msg)在处理其他队列的消息时 CreateWindow() 0环的一些代码也会调用窗口过程,但它没有发消息给队列而是直接调用窗口过程(KeUserModeCallback) NtUserCreateWindowEx()这样设计是因为,如果你程序需要...
内核进程回调遍历【记录】
WorryFree
05-15 435
通过WinDbg手动进行内核进程回调表遍历【记录】
Windows消息机制学习笔记(四)—— 内核回调机制
qq_41988448的博客
06-24 1082
消息机制学习笔记(四)—— 内核回调机制要点回顾内核调用实验1:理解内核调用第一步:编译并运行以下代码第二步:修改窗口过程函数,重新运行结论KeUserModeCallback分析KeUserModeCallback 要点回顾 1)GetMessage不仅能够取出消息,还能处理SentMessagesListHead队列的消息 2)DispatchMessage()用于处理其它队列的消息。 内核调用 描述:窗口过程函数除了会在消息循环被调用,一些0环的代码也可以直接发起调用。 例如:窗口初始化时、窗口
驱动开发内核注册并监控对象回调
CSDN
10-24 1万+
在笔者上一篇文章简单介绍了如何枚举系统已经存在的进程与线程回调,本章LyShark将通过对象回调实现对进程线程的句柄监控,在内核提供了回调,使用这个内核回调函数,可注册一个对象回调,不过目前该函数只能监控进程与线程句柄操作,通过监控进程或线程句柄,可实现保护指定进程线程不被终止的目的。由于目前对象回调只能监控进程与线程,而这个监控是通过ObjectType这么一个成员控制的,如果成员是则代表监控进程,反之则是监控线程,无论监控进程还是线程都调用这个函数来完成注册。函数。
驱动开发内核监控进程与线程回调
热门推荐
CSDN
10-23 1万+
系统监控进程与线程可以使用微软提供给我们的两个新函数来实现,此类函数的原理是创建一个回调事件,当有进程或线程被创建或者注销时,系统会通过回调机制将该进程相关信息优先返回给我们自己的函数待处理结束后再转向系统层。那么会提示连接的设备没有发挥作用,我们则成功拦截了这次打开,当然如果在打开进程之前扫描其特征并根据特征拒绝进程打开,那么就可以实现一个简单的防病毒程序,进程监控在防病毒程序也是用的最多的。如上,该函数只有两个参数,第一个参数是回调函数,第二个参数是是否注销,通常在驱动退出时可以传入。
内核回调的触发时机
weixin_30430169的博客
11-06 558
自己验证的 环境WinXP SP3 x86 进程创建回调   进程被影射进内存之后,仅仅是被影射进来之后。   也就是进程内部空间的修改可能会修改到应用程序文件。   这时有一条线程存在,但是没有被运行,也就是说,主线程存在,但是还没有执行到exe 的 oep。   这时可以做的操作不多,   可以插入APC,但是不可以修改进程空间的任何内存空间,因为被修改的地方可能会直...
MiniFilter文件系统学习
zhuhuibeishadiao
04-23 1万+
Minfilter与legacy filter区别 比sfilter加载顺序更易控制. altitude被绑定到合适的位置。  Minfilter在注册表服务项有一项Altitude值 此值越高位置越靠前 (待考证 每一个minifilter驱动必须有一个叫做altitude的唯一标识符.一个minifilter驱动的altitude定义了它加载时在I/O栈相对其他minifi
Windows驱动学习(九)-- 回调函数
安全杂货铺
02-12 2643
Win10下的_EPROCESS结构记录
WorryFree
11-30 2304
kd> dt _EPROCESS ntdll!_EPROCESS +0x000 Pcb : _KPROCESS 内嵌的内核层进程结构体 +0x2e0 ProcessLock : _EX_PUSH_LOCK 自旋锁 用于保护EPROCESS数据成员的同步 +0x2e8 UniqueProcessId : Ptr64 Void 进程的唯一PID +0x2f0 ActiveProcessLinks :
Vxworks嵌入式设备驱动内核数据结构解析
"深入理解内核数据结构在Vxworks驱动开发的应用" 在Vxworks驱动开发内核数据结构扮演着至关重要的角色。这些结构不仅为内核提供了管理和控制设备的基础,还允许驱动程序根据自身需求扩展。标题的"内核数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

微软技术分享

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值