Win64 驱动内核编程-34.对抗与枚举MiniFilter

最新推荐文章于 2021-12-29 10:02:41 发布
最新推荐文章于 2021-12-29 10:02:41 发布
阅读量4.8k 收藏 8
点赞数
分类专栏: 驱动内核编程 文章标签: 驱动 对抗与枚举MiniFilter MiniFilter 宋孖健 13
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013761036/article/details/69062799
版权
本文介绍了MiniFilter在杀毒软件中用于文件系统保护和实时监控的作用,以及如何枚举MiniFilter。枚举主要通过FltEnumerateFilters API,而对抗MiniFilter通常涉及替换其处理函数地址。尽管不能直接反注册其他MiniFilter,但禁用处理函数会导致相关杀毒软件的文件保护失效。
摘要由CSDN通过智能技术生成

对抗与枚举MiniFilter

    MiniFilter 是目前杀毒软件用来实现“文件系统自我保护”和“文件实时监控”的方法。

由于 MiniFilter 模型简单,开发快捷,通用性好,以前用 FSD HOOK 或者标准过滤驱动来实现相关功能的杀软纷纷改用 MiniFilter,比如卡巴斯基。不过,枚举 MiniFilter 就跟之前枚举回调的方法不太相同了,因为 MiniFilter 的框架不在 NTOSKRNL 里,自成一套系统,有专用的 API。不过“自成一套系统,有专用 API”的好处就是,无需我们自己通过特征码来定位数组或者链表,直接使用 MiniFilter 提供的 API 就行。

    枚举MiniFilter主要使用FltEnumerateFilters这个API,它会返回过滤器对象(FLT_FILTER)的地址,然后根据过滤器对象的地址,加上一个偏移,获得记录过滤器 PreCall、PostCall、IRP 等信息的结构体指针(PFLT_OPERATION_REGISTRATION)。上文之所以说要加上偏移,是因为 FLT_FILTER 的定义在每个系统都不同,比如 WIN7X64 中的定义为:

nt!DbgBreakPointWithStatus:

fffff800`03e74f60 cc              int     3

kd> dt fltmgr!_FLT_FILTER

   +0x000 Base             : _FLT_OBJECT

   +0x020 Frame            : Ptr64 _FLTP_FRAME

   +0x028 Name             : _UNICODE_STRING</

最低0.47元/天 解锁文章
TK13
关注
专栏目录
Win64 驱动内核编程-17. MINIFILTER(文件保护)
墨鱼菜鸡
12-18 286
MINIFILTER(文件保护) 使用HOOK来监控文件操作的方法有很多,可以在SSDT上HOOK一堆和FILE有关的函数,也可以对FSD进行IRPHOOK,不过这些方法既不方便,也不安全。微软推荐的文件操作过滤方法是使用过滤驱动,在VISTA之后,推荐使用MINI...
驱动对抗(一):ELAM驱动加载与驱动过滤
yan_star的博客
01-17 1899
驱动对抗现状: 问题: 由于3环权限低,越来越多的病毒不屑于在3环搞事。在处理用户的一些病毒问题时,除了流氓软件,最多的还是rootkit这一类病毒(关于rootkit病毒的介绍,常见操作和危害不在此处讨论,以后笔者可以单独开一篇博文聊聊)。有些用户遇到3环问题还能自己想办法解决一下,通过修改劫持首页的注册表、快捷方式或者卸载恶意流氓软件等等就可以解决问题。但是,面对rootkit类病毒问题时,绝大多数的用户还是不知道或者不敢轻易去自己解决,一方面由于相关处理经验不足,另一个是怕出什么问题导致蓝屏或者系
内核驱动对抗Hook ZwSetInformationFile反删除技术
Floating Guy
04-13 2706
网络安全中的文件删除与保护一直都是大家谈论的焦点问题,针对如何保护磁盘上属于自己的专有文件,已经存在一些现成技术,比如信息隐藏技术。笔者详细的谈论过有关基于有序规则的信息隐藏与加密技术,利用一些常见图片、视频等作为载体将文件嵌入其中,达到掩人耳目的目的。这种方式如果在图像的鲁棒性、文件规则的壮性、加密算法的有效性上能够很好的满足,是可以很好的实现文件的保护的。下面论述的是文件在没有隐藏的情况下,
minifilter---context
DOTM的专栏
11-05 1018
Why does one need contexts ? Well, the IO model in NT is based on passing objects around and the various components that handle these objects need a way to save information about each object (for exam
对数字的对抗驱动360boost.sys的简单逆向
研究源码的最底层,只持有正确的仓位
01-15 1121
 数字的对抗驱动有两个版本,150多个函数的没有调用hookport框架,我看的80多个函数的,调用了自保。逆了一半。主要是和企鹅对抗用的,有兴趣的继续分析哦。主要是对抗回调,删除启动项,服务类的。  下载地址:  http://pan.baidu.com/s/1jG3F5kE   --写于2014-1-19...
CDO-File-System-Minifilter-Driver.zip_minifilter
09-20
4. **开发与调试**:开发CDO File System Minifilter Driver需要深入理解Windows内核编程,包括IRP(I/O请求包)、调度算法以及内核模式编程的基本概念。调试minifilter驱动通常需要用到WinDbg等工具,以检查驱动在...
驱动-与3环程序通讯
chengtoreal的博客
03-05 389
3环程序代码 #include <stdio.h> #include <windows.h> // 定义自定义消息 // 参数:设备类型,IOCTL码(自定义),读写方式,权限 #define BufferWay CTL_CODE( FILE_DEVICE_UNKNOWN, 0x801, METHOD_BUFFERED, FILE_ANY_ACCESS ) #define DirectWay CTL_CODE( FILE_DEVICE_UNKNOWN, 0x802, METHOD_
Windows驱动开发技术详解》之派遣函数
weixin_38170137的博客
05-26 256
驱动程序的主要功能是负责处理I/O请求,其中大部分I/O请求是在派遣函数中处理的。用户模式下所有对驱动程序的I/O请求,全部由操作系统转化为一个叫做IRP的数据结构,不同的IRP数据会被“派遣”到不同的派遣函数中。 IRP与派遣函数 IRP的全称是输入输出请求包。 其部分结构如下: 1 typedef struct DECLSPEC_ALIGN(MEMORY_AL...
C++,文件加密过滤驱动,文件保护程序
04-27
FileGuard 是一个文件保护程序,能对指定目录或指定文件进行监视并保护。主要功能有:删除保护,写保护,读保护,隐藏文件等。 组成文件: FileGuard.exe, FGHook.vxd, FGHelp.chm, 一个保护信息文件(默认为ProtFile.ini)。 使用时请确保前三个文件在同一目录下。 运行环境: IBM PC,Windows 9x/Me (NT下不能使用)
PCIe驱动开发-驱动加载
爱她就要努力
05-26 2442
上篇中,我们探讨了PCIe设备是如何在Bios中被初始化的,Bios中各种准备工作做好后,就开始引导装载操作系统,系统的控制权移交给操作系统,操作系统中也要对系统中各PCI设备进行扫描以及初始化(和上文中提到的Bios对PCI设备的枚举和配置一样),事实上,早期的操作系统也是通过Bios调用的方式来获取系统PCI设备信息的,只不过现在变成亲自动手了。总体来说,操作系统对PCI的枚举以及初始化的过程
Window XP驱动开发(十六) 驱动程序调用驱动程序(通过设备指针)
chenyujing1234的专栏
07-02 3617
转载请标明是引用于 http://blog.csdn.net/chenyujing1234  欢迎大家提出意见,一起讨论! 代码及EzDriverInstaller下载地址 : http://www.rayfile.com/zh-cn/files/9840cf8f-c41f-11e1-b25b-0015c55db73d/ (编译环境:VS2008+DDK库(参考:Window XP驱动
sfilter开源驱动分析(一)--文件过滤的基本步骤
jimk1983的专栏
10-24 2346
NT的I/O管理器支持分层的驱动程序模式。         当应用层的CreateFile() (R3层)  --> || NtCreateFile() [I/O管理器在这一层,ntdll.dll]  -->|| 内核驱动层(R0层) ,这里讨论的主要是针对最后的内核驱动层的处理。          当每个IRP被处理的时候,它会经过驱动层中的各个驱动程序,直到最终被某个驱动程序调用IoCo
[Windows 驱动开发] 获取驱动详细信息
LYSM
04-15 689
驱动对象 在内核中. 每一个驱动模块都是一个驱动对象. 都有一个 DRIVER_OBJECT结构体代表。 驱动对象结构如下: typedef struct _DRIVER_OBJECT { CSHORT Type; CSHORT Size; // // The following links all of the devices created by a single driver // together on a list, and the Flags word
Windows驱动开发】注册表的基本操作(创建、打开、修改、读取、枚举)(附源码)
皮皮不调皮的博客
12-29 1634
1、创建注册表项和子项 VOID RegCreateText() { HANDLE hKey; HANDLE hSubkey; NTSTATUS status; OBJECT_ATTRIBUTES oa; ULONG ulRet; UNICODE_STRING RegPath = RTL_CONSTANT_STRING(L"\\Registry\\Machine\\SOFTWARE\\MyKey"); UNICODE_STRING SubPath = RTL_CONSTANT_STRING(L
Windows驱动程序开发教程(更新完毕)
weixin_30907935的博客
11-04 308
课程描述: Windows驱动内核程序开发自从Windows诞生的时刻起,就保持着神秘的面纱,一直被认为是开发领域中比较高深的技术。它需要程序员对Windows操作系统底层有很深刻的理解,同时又需要有丰富的调试经验。但同时,计算机很多领域又需要大量的驱动内核开发人员,如PCI、USB设备的驱动设计。同时,随着计算机病毒和木马的广泛传播,大量的安全方面软件需要内核开发这方面的技术,如...
应用程序与驱动程序交互函数DeviceIoControl详解
zz_strive_2012的专栏
12-20 2437
这种通信方式,就是驱动程序和应用程序自定义一种IO控制码,然后调用DeviceIoControl函数,IO管理器会产生一个MajorFunction 为IRP_MJ_DEVICE_CONTROL(DeviceIoControl函数会产生此IRP),MinorFunction 为自己定义的控制码的IRP,系统就调用相应的处理IRP_MJ_DEVICE_CONTROL的派遣函数,你在派遣函数中判断Mi...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值