在文件过滤驱动中如何判断文件访问请求来自网络?

最新推荐文章于 2021-03-26 22:35:57 发布
最新推荐文章于 2021-03-26 22:35:57 发布
阅读量752 收藏
点赞数
文章标签: 网络 token null network access blog
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/walksea/article/details/1364696
版权

在做文件过滤驱动的时候,经常会想知道这个文件访问请求是来自本地还是网络的,这样就可以根据自己制定的安全策略,决定是否允许这些请求完成,因 此,成功的判断来自网络的文件访问就十分必要了。刚刚从驱网bmyyyud的Blog那里看到的一篇相关文章,还没有来得及测试,先转载过来吧,有空试 试。

//---------------------------------------------------
//从IrpStackLocation中判断来自网络的文件访问
BOOLEAN SfIsFromNetAccess(
     PIO_STACK_LOCATION IrpSp
     )
{
     NTSTATUS status;
     PACCESS_TOKEN pToken = NULL;
     PTOKEN_SOURCE pTokenSrc = NULL ;
     PSECURITY_SUBJECT_CONTEXT secSubCtx;
     //PIO_STACK_LOCATION IrpSp = IoGetCurrentIrpStackLocation(Irp);
     
     secSubCtx = &(IrpSp->Parameters.Create.SecurityContext->AccessState->SubjectSecurityContext);

     if (secSubCtx->ClientToken != NULL || secSubCtx->PrimaryToken != NULL)
     {
           pToken = SeQuerySubjectContextToken(secSubCtx);
     }
     
     if (pToken == NULL)
     {
           //KdPrint(("SeQuerySubjectContextToken Errorn"));
           return FALSE;
     }

//
// Get TokenSource Name If SourceName is "NtLmSsp" it was logged-in via Lanmanager,
// "User32" represents localy logged-in users.
//
__try
{
     status = SeQueryInformationToken(pToken,TokenSource,&pTokenSrc);
     if (NT_SUCCESS(status))
     {
           pTokenSrc->SourceName[TOKEN_SOURCE_LENGTH-1] = 0x00;
           
           KdPrint(("Token Name :%s Len:%dn",pTokenSrc->SourceName,strlen(pTokenSrc->SourceName)));
     
           if (_stricmp(pTokenSrc->SourceName,"NtLmSsp") == 0 )
           {
                 KdPrint(("NetWork Access Token Findn"));
                 return TRUE;
           }
     }
     else
     {
           KdPrint(("SeQueryInformationToken Error:0x%xn",status));
     }
}
__finally
{
     ExFreePool(pTokenSrc);
}
     return FALSE;
}

 
walksea
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IoCreateFile也可以用ZwCreateFile,及二者区别
一介码农,热爱金融。
10-18 1472
在内核我们进行文件操作,可以使用IoCreateFile也可以用ZwCreateFile。 但究竟这两者有什么差别呢?下面是这两个函数的格式如下: NTSTATUS IoCreateFile( OUT PHANDLE FileHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, OU
强删文件,强杀进程,文件注册表穿越
05-16 938
本公众号分享的所有技术仅用于学习交流,请勿用于其他非法活动,如有错漏,欢迎留言交流指正 《Windows NT File System Iternals》 文件加解密必备 《Windows驱动开发技术详解》张帆 电子工业出版社 很基础,仅仅适合入门 《Windows 2000设备驱动程序设计智能》 Art Baker等主 机械工业出版社 《寒江独钓:Windows内核安全编程》 邵坚磊等著 电子工业出版社 《Windows内核原理与实现》潘爱民 强删,强杀,穿越 强制删除文件 安全软件用强删..
linux C判断文件是否存在【转】
weixin_34294649的博客
09-19 439
转自:http://blog.csdn.net/kingjo002/article/details/8442146 一、access函数 功能描述: 检查调用进程是否可以对指定的文件执行某种操作。 用法: #include <unistd.h> #include <fcntl.h> int access(const char *pathn...
php判断来源网址地址并且限制非法来源
云博客_资源宝分享
03-26 3930
php判断来源网址地址并且限制非法来源(代码收集整理) php判断来源网址地址并且限制非法来源(代码例子) $fromHost = array( 'httple.net', 'localhost', '127.0.0.1' ); $s = 'http://www.httple.net/chong/abc.shtml'; $urlArr = parse_url($s); $host = isset($urlArr['host'])?$urlArr['host']:''; $host = strtolower(
文件过滤驱动源代码 过滤文件系统驱动的完整代码
08-07
文件过滤驱动是Windows操作系统的一种关键技术,用于在文件系统与应用程序之间插入一层处理逻辑,它可以在文件被读取、写入或创建时进行拦截,执行特定的操作,如数据加密、权限控制、日志记录等。这个压缩包"文件...
利用汇编开发文件过滤驱动程序.sys驱动开发
01-28
在IT行业驱动程序开发是一项高技术含量的工作,特别是文件过滤驱动程序的开发,它涉及到操作系统内核层面的编程。本话题将详细讲解如何利用汇编语言开发文件过滤驱动程序,这种驱动通常以`.sys`文件形式存在,...
一个文件过滤驱动的完整代码,实现了文件加解密
11-20
文件过滤驱动(File System Filter Driver)是Windows操作系统一种低级别的驱动程序,它在文件系统之上,硬件驱动之下运行,可以拦截对文件系统的操作。IFS(Installable File System)是微软Windows NT内核系列...
文件过滤驱动_闲暇时写的透明加解密过滤驱动,只支持流加密.zip
04-04
文件过滤驱动是一种特殊的系统级软件,它在操作系统扮演着至关重要的角色,特别是在信息安全领域。在本案例,"文件过滤驱动_闲暇时写的透明加解密过滤驱动,只支持流加密.zip" 提供了一个自编写的文件过滤驱动...
文件过滤驱动用于windows驱动学习
10-19
2. **IRP处理**:文件过滤驱动会接收到IRP(I/O请求包),这些请求来自于文件系统或其他驱动。通过对这些IRP的处理,驱动可以拦截并改变文件操作的行为。例如,当一个应用程序尝试打开一个文件时,文件过滤驱动可以...
文件过滤驱动网络安全终端的应用
12-21
论文:文件过滤驱动网络安全终端的应用pdf
IoCreateFile vs IoCreateFile
weixin_33907511的博客
06-29 380
感觉IoCreateFile应该算是系统调用,它会调用ObCreateObject函数。 IoCreateFile和IoCreateDevice都会调用ObCreateObject函数。 在IoCreateFile, Status = ObCreateObject(FileHandle, DesiredAc...
sfilter 如何判断当前的IRP是否来自网络
乱弹斋
09-16 1267
再仍一块砖头,sfilter 如何判断当前的IRP是否来自网络?:如何从IrpStackLocation判断来自网络文件访问?//---------------------------------------------------NTSTATUS status;PACCESS_TOKEN pToken = NULL;PTOKEN_SOURCE pTokenSrc = NULL ;PSECU
强删文件--->构建IRP---->独占--->正在运行 以及磁盘读写(思路)
zhuhuibeishadiao
04-03 2864
个人比较崇拜360 一个小小的按钮下面蕴含着很多的原理 要有多么强大才能1天搞定偏移 -------致敬360 致敬MJ-001 无奈本人学业不精 只能说说“独占”和“正在运行” 打开文件 一般使用ZwCreateFile NtCreateFile 但这些函数还不够底层 使用IoCreateFile会好一些 被其它程序独占 枚举句柄表 ZwQuerySystemInformation -
如何判断某个设备文件是否存在
热门推荐
lwj103862095的专栏
12-10 2万+
问:如何在shell里面实现,判断设备文件是否存在,如果不存在则重新判断,直到它存在,如果存在了则往下跑?假设要判断的设备文件是一个字符设备,例如:/dev/input/event4while true; do if [ ! -c /dev/input/event4 ]; then echo "Can not find /dev/input/event4" sleep 1 conti
围观文件穿越操作
Returns' Station
06-06 1217
大概这么几个思路   1.      打开文件用IoCreateFile,其他比较好发irp的(比如删除操作)走FSD irp 删除文件部分处理了删除正在运行的exe镜像部分,做法是方法是IAT Hook MmFlushImageSection 但是这样对于独占文件依旧不能处理,只好等到关机回调的时候ZwClose一下在检验 对于鬼影这种hook住微端口驱动的Star
文件操作->Tesla.Angela教程整理
zhuhuibeishadiao
04-02 3191
RING0 操作文件和 RING3 操作文件在流程上没什么大的区别,也是“获得文件句柄->读/ 写/删/改->关闭文件句柄”的模式。当然了,只能用内核 API,不能用 WIN32API。在讲解具体 的代码之前,先讲解一下文件系统的流程,让大家对整个文件系统有个大概的了解。 假设我们要读写一个文件, 无论在 RING3 调用 ReadFile, 还是在 RING0 调用 NtReadFile,
Windows文件系统过滤驱动开发详解
教程的最后部分是对未来发展的展望和微端口文件过滤驱动的简要介绍,提供了一个更深入研究的方向。 这个教程是Windows系统开发者学习和掌握文件系统过滤驱动开发的宝贵资源,不仅提供了理论知识,还包含了实际操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值