minifilter重定向

已于 2022-05-10 03:32:31 修改
阅读量772 收藏 1
点赞数
分类专栏: 内核安全编程 文章标签: 文件过滤
于 2022-05-08 21:54:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490873/article/details/124655515
版权

在PreCreate函数中来完成

FLT_PREOP_CALLBACK_STATUS
FileCreatePreOperation(
	_Inout_ PFLT_CALLBACK_DATA Cbd,
	_In_ PCFLT_RELATED_OBJECTS FltObjects,
	_Flt_CompletionContext_Outptr_ PVOID *CompletionContext
)
{
	PFLT_FILE_NAME_INFORMATION nameInfo = NULL;
	NTSTATUS status;
	FLT_PREOP_CALLBACK_STATUS callbackStatus;
	
	UNREFERENCED_PARAMETER(FltObjects);
	UNREFERENCED_PARAMETER(CompletionContext);

	PAGED_CODE();

	status = STATUS_SUCCESS;
	callbackStatus = FLT_PREOP_SUCCESS_NO_CALLBACK;

	NT_ASSERT(Cbd->Iopb->MajorFunction == IRP_MJ_CREATE);


	if (FlagOn(Cbd->Iopb->OperationFlags, SL_OPEN_PAGING_FILE)) {
		return callbackStatus;
	}

	//打开卷的操作 不重定位
	if (FlagOn(Cbd->Iopb->TargetFileObject->Flags, FO_VOLUME_OPEN)) {
		return callbackStatus;
	}

	//按ID打开的不重定位,因为不知道这种打开方式的意图
	if (FlagOn(Cbd->Iopb->Parameters.Create.Options, FILE_OPEN_BY_FILE_ID)) {

		return callbackStatus;
	}

	if (FlagOn(Cbd->Iopb->OperationFlags, SL_OPEN_TARGET_DIRECTORY)) {

		return callbackStatus;
	}

	do
	{

		status = FltGetFileNameInformation(Cbd,
			FLT_FILE_NAME_OPENED |
			FLT_FILE_NAME_QUERY_DEFAULT,
			&nameInfo);
		if (!NT_SUCCESS(status))
		{
			break;
		}

		status = FltParseFileNameInformation(nameInfo);
		if (!NT_SUCCESS(status)) {
			FltReleaseFileNameInformation(nameInfo);
			break;
		}

		WCHAR Path[260] = { 0 };
		memcpy_s(Path,260, nameInfo->Name.Buffer, nameInfo->Name.Length);
		
		if (wcsstr(Path,L"1.txt")==0)
		{
			break;
		}

		//lnk不屏蔽掉  会出问题
		if (wcsstr(Path, L"1.txt.lnk"))
		{
			DbgPrint("打开文件快捷方式%S\n", Path);
			break;
		}

		DbgPrint("打开文件%S\n", Path);
		PWCHAR Name = L"\\Device\\HarddiskVolume1\\2.txt";
		status = IoReplaceFileObjectName(Cbd->Iopb->TargetFileObject, Name,wcslen(Name)*2);
		if (!NT_SUCCESS(status))
		{
			break;
		}
		status = STATUS_REPARSE;
	} while (FALSE);
	
	if (nameInfo != NULL) {

		FltReleaseFileNameInformation(nameInfo);
	}
	
	if (status == STATUS_REPARSE) {

		//
		//  Reparse the open
		//

		Cbd->IoStatus.Status = STATUS_REPARSE;
		Cbd->IoStatus.Information = IO_REPARSE;
		callbackStatus = FLT_PREOP_COMPLETE;
		FltSetCallbackDataDirty(Cbd);
	}
	return callbackStatus;
}

IoReplaceFileObjectName逆向分析

NTSTATUS  IoReplaceFileObjectName(PFILE_OBJECT FileObject, const void *RedirectPath, USHORT Length)
{
	USHORT FileObjectLength; // bx
	PVOID Buffer; // rbp

	FileObjectLength = FileObject->FileName.MaximumLength;

	//如果重定向的路径长度小于文件对象路径的长度 直接用原来的buffer 完成拷贝
	if (Length <= FileObjectLength)
	{
	LABEL_2:
		//设置长度
		FileObject->FileName.Length = Length;
		//完成拷贝
		memset(FileObject->FileName.Buffer, 0, FileObjectLength);
		memmove(FileObject->FileName.Buffer, RedirectPath, Length);
		return 0;
	}

	//这里文件对象路径的长度使用了几个特别的值
	FileObjectLength = 0x38;  //56
	if (Length >= 0x38)
	{
		FileObjectLength = 0x78;  //120
		if (Length >= 0x78)
		{
			FileObjectLength = 0xF8;
			if (Length >= 0xF8)   //248
			{
				FileObjectLength = Length;
			}
		}
	}
	Buffer = ExAllocatePoolWithTag(PagedPool, FileObjectLength, 0x6D4E6F49);
	if (Buffer)
	{
		if (FileObject->FileName.Buffer)
		{
			ExFreePoolWithTag(FileObject->FileName.Buffer, 0);
		}
		FileObject->FileName.Buffer = Buffer;
		FileObject->FileName.MaximumLength = FileObjectLength;
		goto LABEL_2;
	}
	return STATUS_INSUFFICIENT_RESOURCES;
}
qq_857305819
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
文件重定向
事了拂衣去,深藏功与名
07-27 792
文件重定向 当你测试程序时,反复从键盘敲入,是非常乏味和低效的,这个时候就可以使用文件重定向机制,这种机制允许我们将标准输入和标准输出与命名文件关联起来。 看一个简单的C++程序#include <iostream> #include <string>using namespace std;int main() { string word; while (cin >> word)
过滤驱动 文件访问重定向方法
keidoekd2345的专栏
04-19 1395
在pre callback 中,使用IoReplaceFileObjectName 修改 Data->Iopb->TargetFileObject 文件路径, 然后:                 Data->IoStatus.Status = IO_REPARSE;                 Data->IoStatus.Information = IO_REPARSE;
基于文件过滤驱动的文件重定向
问题记事本
06-01 791
转自:http://mzf2008.blog.163.com/blog/static/3559978620114153254458/   NTSTATUS SfCreate (     IN PDEVICE_OBJECT DeviceObject,     IN P
Minifilter文件文件重定向
Niap的博客
03-26 1751
Minifilter文件文件重定向 minifilter是windows驱动开发中针对文件的一个过滤驱动,上可以实现文件透明加密、应用沙盒、自动备份等功能。本文主要介绍通过PreCreate函数来实现文件及夹重定向操作。本文需要 Windows驱动开发的基本知识和Minifilter开发的基本知识。 前人已有经验 https://github.com/conand/Joker 这个项目的主...
MINIFILTER实现文件重定向之从分析到实现
weixin_34249678的博客
08-01 856
本次实验的测试环境为Windows Server 2008 R2 X64下。 为了解决例如系统关键目录或者业务敏感目录被放入恶意的可执行程序或者网页文件等,一些安全软件会使用文件过滤驱动的技术结合一定的检测规则来达到保护系统和业务安全的一些目的。 简单地来看下Minifilter技术的介绍: Filter管理器随Windows一起被安装,但它只在一个...
文件过滤驱动实现目录重定向(三)
fanxiushu的专栏
03-30 2989
Wrote By Fanxiushu   2015-03-30,引用或转载请注明原始作者。 接上文。 因为整个驱动结构采用把所有数据转发到应用层来处理的, 所以需要在应用层处理各种文件请求,才能最终实现目录重定向 。  文件的各种请求是非常多的,现总结一下需要发送到应用层处理的请求包括: 1,CREATE 文件打开创建请求 ,这个请求在驱动收到 IRP_MJ_CREATE触发 2,
过滤驱动实现目录重定向之(完整版本程序下载以及使用)
fanxiushu的专栏
12-22 4195
by fanxishu 2016-12-22 开始之前,先提供程序包的下载地址: CSDN上的下载地址: http://download.csdn.net/detail/fanxiushu/9719017 GITHUB上的下载地址: https://github.com/fanxiushu/xFsRedir/raw/master/xFsRedir-1.0.0.1.zip
查找文件重定向
yengboy的博客
05-04 269
重定向 > 标准正确输出 ( 覆盖 ) >> 标准正确输出 ( 追加 ) &> 混合输出(标准输出、标准错误输出) ( 覆盖 ) &>> 混合输出(标准输出、标准错误输出) ( 追加 ) 2> 标准错误输出 ( 覆盖 ) 2>> 标准错误输出 ( 追加 ) 1> te.txt 2>&...
Minifilter 优点介绍(转)
huyuehuyuehuyue的专栏
10-15 1044
提起Minifilter大家可能都已经非常熟悉了,它是Microsoft极力推荐的一种新型  过滤器模型,不过谈及Minifilter模型我们就不得不提逻辑过滤器模型  (Legacy Filter),逻辑过滤器模型是一种比较古老的模型,它经历过从FileMon  到Sfilter的漫长历程,直到今天它仍然在发挥着它的巨大作用,从两者的对比上来看,  我根据个人的经验总结出了以下特点:
minifilter源码
01-22
资源中的是微软minifilter的原始代码,结构精简,学过滤驱动的朋友们可以参考下。相关文章在http://blog.csdn.net/arvon2012/article/details/7926366
miniFilter(所有框架代码以及对应的PPT资料,可以直接拿来进行修改即可完成各种驱动)
07-24
miniFilter(所有框架代码以及对应的PPT资料,可以直接拿来进行修改即可完成各种驱动)
minifilter 文件透明加密源码
08-05
基于minifilter框架下的透明加解密源码。 1 手工加载时自动增加system,explorer.exe,notepad.exe为监控进程
MiniFilter教程
07-31
文件过滤驱动,文件过滤驱动 MiniFilter教程
文件夹保护_minifilter_文件夹保护_
09-29
在Windows操作系统中,minifilter驱动是一种高效的实现方式,它基于微软的Filter Manager框架,允许开发者在文件系统操作的各个阶段进行拦截和处理。本文将深入探讨minifilter驱动在文件夹保护中的应用及其原理。 ...
windows内科安全与驱动开发,minifilter禁止txt文件打开demo
08-13
《寒江独钓 Windows内核安全编程》的miniflter简单介绍和使用,Minifilter驱动文件,用Minifilter.inf安装 UseMinifilter,应用层 Minifilter_dll ,应用层(客户程序和驱动层通信)
Minifilter
qq_41490873的博客
09-17 1471
Minifilter特点 在Minifilter框架中,不在需要自己去写代码生成设备,去绑定卷.这些框架已经做好了.唯一需要我们做的就是在Callback中处理我们感兴趣的回调函数而已. 创建文件 使用FltCreateFile 不能再使用ZwCreateFile 通信方式 在minifilter中改为通过端口通信. 驱动加载 使用inf文件安装 然后使用命令net start +驱动名 或者使用代码的方式加载,与NT驱动不同的是,需要新增两个注册表键值. Minifilter的注册 CONST FLT_
文件系统驱动开发心得
leehq的专栏
03-05 2858
 * 打开文件系统对象的特殊方式    文件系统驱动接收到IRP请求IRP_MJ_CREATE时,如果IrpSp->Flags指定了SL_OPEN_TARGET_DIRECTORY,则表示并不是真的要打开指定的文件系统对象,而是要检查对象是否可以删除已经它所在的目录是否可以进行创建操作。 通常这样的请求会发生在重命名文件系统对象之前。 * 文件系统驱动处理相对路径    处理IRP_M
minifilter----FLT_CALLBACK_DATA
DOTM的专栏
11-05 917
One very important structure that everyone writing minifilters very quickly becomes familiar is the FLT_CALLBACK_DATA. This is pretty much the equivalent of an IRP in the minifilter model. The structu
沙箱:概述
anhkgg的专栏
10-05 1525
作者:anhkgg 日期:2019年10月4日 最早接触沙箱,对它的印象就是:sandboxie。 因为学的是安全相关专业,在网上下载东西非常谨慎,就算通过了杀毒软件扫描,但是也怕有后门或者其他东西,毕竟我也可以静态过掉杀软。 很多软件没有官网,各种下载站的东西真的是让人不放心。 所以在下载某些软件后,只要不影响功能,基本都会用sandboxie来运行软件。如果不行,则放到虚拟机里。 所以我对...
minifilter 下载
最新发布
09-11
Minifilter是Windows操作系统中的一个内核模块,它可以对文件系统I/O操作进行监控和过滤,提供一定程度的文件系统访问控制和文件操作的修改能力。minifilter可以在文件系统级别实现对文件的读写访问控制、文件内容加密、文件过滤等功能。 minifilter的下载通常分为两个步骤:首先需要下载Windows Driver Kit(WDK)或Windows SDK,以获取minifilter开发所需的工具和库文件;其次,可以根据自己的具体需求编写或下载现有的minifilter源代码。 WDK或Windows SDK是微软提供的一套开发工具,它包含了开发Windows驱动程序所需的一系列工具、示例代码、库文件和文档等,可以用于minifilter开发及其他相关驱动程序的开发。 一般来说,在微软官网上可以找到WDK或Windows SDK的下载链接,用户可以根据自己的操作系统版本和开发环境选择合适的版本进行下载安装。安装完成后,用户可以在Windows开发环境中配置相应的环境变量,然后就可以使用WDK或Windows SDK提供的工具和库文件进行minifilter开发。 另外,也可以通过搜索引擎或开源社区等途径,找到已经编写好的minifilter源代码,并根据需要进行下载和修改。这种方式适用于一些常见的minifilter功能,如文件加密、病毒扫描等,可以节省开发时间和工作量。 总之,minifilter的下载需要获取Windows Driver Kit或Windows SDK,然后可以通过官方渠道或开源社区获取minifilter的源代码,以进行开发和定制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值