R3 HOOK NtDeleteFile 做文件保护

最新推荐文章于 2023-09-07 16:09:25 发布
最新推荐文章于 2023-09-07 16:09:25 发布
阅读量283 收藏
点赞数
文章标签: python
原文链接:https://my.oschina.net/sincoder/blog/93166
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

   下面的程序保护了 所有路径中带 log 的文件 。。。。

   允许在沙盘 sandboxie 中的 。。

  

#include <windows.h>
typedef unsigned long * ULONG_PTR;
typedef LONG NTSTATUS, *PNTSTATUS;
#define STATUS_CANNOT_DELETE             ((NTSTATUS)0xC0000121L)
#define STATUS_SUCCESS  ((NTSTATUS)0x00000000L)
#define STATUS_INFO_LENGTH_MISMATCH      ((NTSTATUS)0xC0000004L)

typedef enum _FILE_INFORMATION_CLASS { 
	FileDirectoryInformation                 = 1,
		FileFullDirectoryInformation,
		FileBothDirectoryInformation,
		FileBasicInformation,
		FileStandardInformation,
		FileInternalInformation,
		FileEaInformation,
		FileAccessInformation,
		FileNameInformation,
		FileRenameInformation,
		FileLinkInformation,
		FileNamesInformation,
		FileDispositionInformation,
		FilePositionInformation,
		FileFullEaInformation,
		FileModeInformation,
		FileAlignmentInformation,
		FileAllInformation,
		FileAllocationInformation,
		FileEndOfFileInformation,
		FileAlternateNameInformation,
		FileStreamInformation,
		FilePipeInformation,
		FilePipeLocalInformation,
		FilePipeRemoteInformation,
		FileMailslotQueryInformation,
		FileMailslotSetInformation,
		FileCompressionInformation,
		FileObjectIdInformation,
		FileCompletionInformation,
		FileMoveClusterInformation,
		FileQuotaInformation,
		FileReparsePointInformation,
		FileNetworkOpenInformation,
		FileAttributeTagInformation,
		FileTrackingInformation,
		FileIdBothDirectoryInformation,
		FileIdFullDirectoryInformation,
		FileValidDataLengthInformation,
		FileShortNameInformation,
		FileIoCompletionNotificationInformation,
		FileIoStatusBlockRangeInformation,
		FileIoPriorityHintInformation,
		FileSfioReserveInformation,
		FileSfioVolumeInformation,
		FileHardLinkInformation,
		FileProcessIdsUsingFileInformation,
		FileNormalizedNameInformation,
		FileNetworkPhysicalNameInformation,
		FileIdGlobalTxDirectoryInformation,
		FileIsRemoteDeviceInformation,
		FileAttributeCacheInformation,
		FileNumaNodeInformation,
		FileStandardLinkInformation,
		FileRemoteProtocolInformation,
		FileMaximumInformation
} FILE_INFORMATION_CLASS, *PFILE_INFORMATION_CLASS;

typedef enum _OBJECT_INFORMATION_CLASS {
	ObjectBasicInformation, 
		ObjectNameInformation,
		ObjectTypeInformation,
		ObjectAllInformation,
		ObjectDataInformation	
} OBJECT_INFORMATION_CLASS, *POBJECT_INFORMATION_CLASS;

typedef struct _IO_STATUS_BLOCK {
	union {
		NTSTATUS Status;
		PVOID    Pointer;
	};
	ULONG_PTR Information;
} IO_STATUS_BLOCK, *PIO_STATUS_BLOCK;

typedef struct _FILE_DISPOSITION_INFORMATION {
	BOOLEAN DeleteFile;
} FILE_DISPOSITION_INFORMATION, *PFILE_DISPOSITION_INFORMATION;

typedef struct _UNICODE_STRING {
	USHORT Length;
	USHORT MaximumLength;
	PWSTR  Buffer;
} UNICODE_STRING, *PUNICODE_STRING;

//
// Valid values for the Attributes field
//

#define OBJ_INHERIT             0x00000002L
#define OBJ_PERMANENT           0x00000010L
#define OBJ_EXCLUSIVE           0x00000020L
#define OBJ_CASE_INSENSITIVE    0x00000040L
#define OBJ_OPENIF              0x00000080L
#define OBJ_OPENLINK            0x00000100L
#define OBJ_KERNEL_HANDLE       0x00000200L
#define OBJ_FORCE_ACCESS_CHECK  0x00000400L
#define OBJ_VALID_ATTRIBUTES    0x000007F2L

typedef struct _OBJECT_ATTRIBUTES {
	ULONG           Length;
	HANDLE          RootDirectory;
	PUNICODE_STRING ObjectName;
	ULONG           Attributes;
	PVOID           SecurityDescriptor;
	PVOID           SecurityQualityOfService;
}  OBJECT_ATTRIBUTES, *POBJECT_ATTRIBUTES;

typedef struct _OBJECT_NAME_INFORMATION {
	UNICODE_STRING Name;
	WCHAR NameBuffer[0];
} OBJECT_NAME_INFORMATION, *POBJECT_NAME_INFORMATION;

void *(__stdcall *pf_SbieDll_Hook)(const char *ApiName, void *ApiFunc, void *NewFunc);

NTSTATUS (__stdcall *pf_NtQueryObject)(
									   IN HANDLE ObjectHandle,
									   IN OBJECT_INFORMATION_CLASS ObjectInformationClass, 
									   OUT PVOID ObjectInformation, 
									   IN ULONG Length, 
									   OUT PULONG ResultLength ); 

NTSTATUS (__stdcall *Real_NtSetInformationFile)(
												HANDLE FileHandle,
												PIO_STATUS_BLOCK IoStatusBlock,
												PVOID FileInformation,
												ULONG Length,
												FILE_INFORMATION_CLASS FileInformationClass
												);
NTSTATUS (__stdcall *Real_NtDeleteFile)(POBJECT_ATTRIBUTES ObjectAttributes);

NTSTATUS __stdcall Hook_NtSetInformationFile(
											 HANDLE FileHandle,
											 PIO_STATUS_BLOCK IoStatusBlock,
											 PVOID FileInformation,
											 ULONG Length,
											 FILE_INFORMATION_CLASS FileInformationClass
											 )
{
	if(FileInformationClass == FileDispositionInformation && *(unsigned char *)FileInformation == 1)
	{
		//尝试删除文件
		OutputDebugStringA("--> Hook_NtSetInformationFile");
	}
	return Real_NtSetInformationFile(FileHandle,IoStatusBlock,FileInformation,Length,FileInformationClass);
}


NTSTATUS __stdcall Hook_NtDeleteFile(POBJECT_ATTRIBUTES ObjectAttributes)
{
	OBJECT_NAME_INFORMATION *pinfo = NULL;
	ULONG  nRetSize;
	ULONG  len;
	NTSTATUS ret = 0;
	WCHAR *buff;
	int i = 0;

	if(ObjectAttributes->ObjectName && ObjectAttributes->ObjectName->Length > 1)
	{
		//伤不起 ~~~
		buff = (WCHAR *)malloc(ObjectAttributes->ObjectName->Length+1);
		memcpy(buff,ObjectAttributes->ObjectName->Buffer,ObjectAttributes->ObjectName->Length);
		buff[ObjectAttributes->ObjectName->Length] = 0;
		if(wcsstr(pinfo->Name.Buffer,L"log"))
		{
			free(buff);
			return STATUS_CANNOT_DELETE;  //拒绝访问 
		}
		free(buff);
	}
	else
	{
		//使用的是文件的句柄
		ret = pf_NtQueryObject(ObjectAttributes->RootDirectory,ObjectNameInformation,pinfo,0,&nRetSize);
		if ( STATUS_INFO_LENGTH_MISMATCH == ret )
		{
			for (i = 0 ;i< 10;i++)//try 10 times
			{
				pinfo = (OBJECT_NAME_INFORMATION *)malloc(nRetSize);
				ret = pf_NtQueryObject(ObjectAttributes->RootDirectory,ObjectNameInformation,pinfo,nRetSize,&nRetSize);
				if(STATUS_SUCCESS == ret)
				{
					if(pinfo->Name.Buffer)
					{
						if(wcsstr(pinfo->Name.Buffer,L"log"))
						{
							free(pinfo);
							return STATUS_CANNOT_DELETE;  //拒绝访问 
						}
					}
					break;
				}
				if(STATUS_INFO_LENGTH_MISMATCH == ret)
				{
					free(pinfo);
					pinfo = NULL;
                }
				else
					break;
			}
			if(pinfo)
			{
				free(pinfo);
				pinfo = NULL;
			}
		}
	}
	return Real_NtDeleteFile(ObjectAttributes);
}

__declspec(dllexport) void __stdcall InjectDllMain(HINSTANCE hSbieDll, ULONG_PTR UnusedParameter)
{
	Real_NtSetInformationFile = (NTSTATUS (__stdcall *)(HANDLE ,PIO_STATUS_BLOCK ,PVOID ,ULONG ,FILE_INFORMATION_CLASS ))GetProcAddress(LoadLibrary("ntdll.dll"),"NtSetInformationFile");
	Real_NtDeleteFile = (NTSTATUS (__stdcall *)(POBJECT_ATTRIBUTES)) GetProcAddress(LoadLibrary("ntdll.dll"),"NtDeleteFile");
	pf_NtQueryObject = (NTSTATUS (__stdcall *)(HANDLE,OBJECT_INFORMATION_CLASS,PVOID,ULONG,PULONG))GetProcAddress(LoadLibrary("ntdll.dll"),"NtQueryObject");
	pf_SbieDll_Hook = (void *(__stdcall *)(const char *, void *, void *)) GetProcAddress(hSbieDll, "SbieDll_Hook");
	if(NULL == Real_NtDeleteFile || NULL == Real_NtSetInformationFile || NULL == pf_SbieDll_Hook || NULL == pf_NtQueryObject)
	{
		// failed ...
	}
	else
	{
		//start hook
		//Real_NtSetInformationFile = pf_SbieDll_Hook("NtSetInformationFile",Real_NtSetInformationFile,Hook_NtSetInformationFile);
		Real_NtDeleteFile = pf_SbieDll_Hook("NtDeleteFile",Real_NtDeleteFile,Hook_NtDeleteFile);
	}
}

BOOL __stdcall DllMain(HANDLE hModule, DWORD ul_reason_for_call, LPVOID lpReserved)
{
	switch(ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		{
			
		}
		break;
	case DLL_PROCESS_DETACH:
		{
			
		}
		break;
	default:
		break;
	}
	return TRUE;
}

转载于:https://my.oschina.net/sincoder/blog/93166

weixin_33885253
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
hook pte_简单HOOK SSDT实现文件防删除
weixin_42121058的博客
02-23 451
被玩烂了的SSDT,索性就让它更烂吧,没啥技术含量,只是想增进下和驱动的感情,慢慢跟上那帮人的步伐。关于SSDT的描述,推荐看下堕落天才的文章:http://bbs.pediy.com/showthread.php?t=40832。OD跟踪DeleteFile API的执行流程,会大致看到这样的调用:DeleteFileA -> DeleteFileW -> ntdll.ZwSetIn...
基于文件属性修改的文件保护(Ring3级别)
06-23
通过修改文件权限的方式保护文件路径
使用 NtDeleteFile 来删除文件
weixin_34377919的博客
11-30 740
2019独角兽企业重金招聘Python工程师标准>>> ...
R3 HOOK NtDeleteFile 防止删除文件
weixin_34148340的博客
11-30 576
2019独角兽企业重金招聘Python工程师标准>>> ...
Minifilter过滤驱动与R3程序通讯实现文件保护
最新发布
qq_18811919的博客
09-07 375
实现保护文件或目录、R3层通过与过滤驱动通讯通知要保护文件或目录,可执行创建不可删除或修改
Hook ssdt.rar_HookSSDT_hook_ssdt_进程保护_驱动保护
09-25
《驱动层Hook SSDT:进程与驱动保护技术详解》 在信息安全领域,Hook SSDT(System Service Dispatch Table)是一种常见的技术手段,它涉及到操作系统内核、驱动程序以及进程管理等多个核心概念。Hook SSDT允许...
文件保护 inline hook
03-23
"文件保护 inline hook"是实现这一目标的一种技术手段,尤其是针对系统调用的监控和篡改。在这个主题中,我们将深入探讨"HookIopCreateFile"这个特定的实例,它是如何在Windows操作系统中对文件创建操作进行拦截和...
ssdt_hook.rar_SSDT 进程保护_ssdt_ssdt hook_进程保护
09-22
在进程保护方面,SSDT Hook能够有效地防止恶意代码篡改或劫持系统服务,从而保护目标进程的正常运行。例如,它可以监测并阻止试图关闭或修改受保护进程的行为。此外,通过hook关键的系统服务,如进程创建、线程注入...
HOOK任务管理器进程保护源码
08-24
在这个项目中,DLL文件是实现HOOK功能的核心部分,它会被其他程序加载以实现进程保护功能。 4. **编程语言和工具**:虽然未明确指出,但根据文件名(如.sln、.v11.suo)推测,这个项目可能使用C++或C#语言编写,并...
基于Hook技术的Android平台隐私保护系统
01-20
针对Android中恶意应用窃取用户隐私的问题,设计并实现了一个基于Hook技术的隐私保护系统。该系统包括应用分类模块、隐私信息管理模块和共谋攻击管理模块。应用分类模块利用权限特征向量集构建分类模型,对手机上的...
R3下猥琐NTDLL钩子
cqyczj的专栏
04-25 1588
链 接: http://bbs.pediy.com/showthread.php?t=163658 在R3下对NTDLL里面的Zw函数的HOOK 大部分都是在函数前几个字节HOOK,或者IAT之类的.这样的HOOK 虽然比较方便,不过也存在一个很大的弊端,就是函数HOOK 很容易被检测,所以我们需要一种更猥琐的HOOK方式.当然这只是相对.而不是真的很猥琐......
驱动编程:注册表回调,进程回调,文件回调,进程隐藏断链,窗口保护
追逐光芒,追随内心
10-28 1817
#include "struct.h" #define debug_pott_offset 0x298 //#define debug_pott_offset 0x1f0 DWORD changge_size_NtClose = 0; //NtClose被修改了N字节 PUCHAR ori_head_NtClose = NULL; //NtClose的前N字节数组 PVOID ori_addr_NtClose = NULL; //NtCl..
VB Ring3下解锁文件的模块(二)
chenhui530的专栏
10-21 3293
VB Ring3下解锁文件的模块(一) CSDN地址是:http://topic.csdn.net/u/20070925/11/c0fa3831-e732-46f2-81e3-2465d0577151.html?1416895339VB Ring3下解锁文件的模块(一) 博客地址:http://blog.csdn.net/chenhui530/archive/2007/10/03/181030
病毒工具之注册表监视器(VC DLL源码)
凌铖的专栏
08-30 647
核心HOOK API类,理论上可以HOOK 任何使用STDCALL声明的API函数// HookInfo.h: interface for the CHookInfo class.////////////////////////////////////////////////////////////////////////#if !defined(AFX_HOOKINFO_H__D44F1
vc++ hook 拦截自己进程指定的api函数_自己动手制作一个过保护调试器
weixin_39908263的博客
11-26 1028
一、起因第一次接触驱动开发的小白,事情是这样的,一个星期前突发奇想想一个腻o调试器保护程序用于调试游戏,既然要调试驱动保护的程序,自然也要深入驱动底层调试器必须要hook api去隐藏调试器的参数 所以就有了今天这篇文章。二、准备的东西第一个版本的调试器保护程序就是今天要说的用到ETW(Event Tracing for Windows)hookHook api 实现隐藏参数...
NtQueryObject 函数
93Storm
04-25 4155
若翻译出现错误,请指出,本人会即时改正。 这个函数未来可能会改变或者从windows中移除,但是不会通告你。(微软有多贱,我嘞个草了) 函数声明: NTSTATUS NtQueryObject( _In_opt_  HANDLE  Handle, _In_        OBJECT_INFORMATION_CLASS objectInformationClass, _Out_opt_
Cannot delete or update a parent row
过客的博客
03-27 8965
HTTP Status 500 - Cannot delete or update a parent row: a foreign key constraint fails (`project`.`response`, CONSTRAINT `demand_id` FOREIGN KEY (`demand_id`) REFERENCES `demand` (`id`) ON DELETE NO A
Windows下Ring0级进程保护组件:SSDT HOOK技术实现
这篇文档详细介绍了如何利用SSDT(System Service Descriptor Table,系统服务描述符表)HOOK技术来设计和实现一个Ring0级别的进程保护组件。SSDT是Windows内核中关键的部分,它存储了系统服务的地址,通过HOOK SSDT...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值