sfilter动态加解密吐血总结

最新推荐文章于 2023-06-09 09:34:06 发布
最新推荐文章于 2023-06-09 09:34:06 发布
阅读量1.6k 收藏 1
点赞数
文章标签: 解密 加密 buffer windows io 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xianghb/article/details/104497
版权
晕了好几天,总算把Ifs的动态加解密给闹明白了。
为了后来者不再晕,总结如下:

1.加密在SfWrite(IRP_MJ_WRITE)中,而不是完成例程,
解密在SfRead(IRP_MJ_READ)中,而不是完成例程,

3.只要处理IRP_NOCACHE|IRP_PAGING_IO|IRP_SYNCHRONOUS_PAGING_IO

2.加密简单过程:
a.得到Windows传下来的Buffer Address,
if (Irp->MdlAddress)
{
SysDataBuf = MmGetSystemAddressForMdlSafe(Irp->MdlAddress, NormalPagePriority);
}
else
{
SysDataBuf = Irp->UserBuffer;
}
b.保存明文SysDataBuf 在SysDataBufFirst

c.用你强大的算法加密SysDataBuf -->> MyBuf

d.把MyBuf Copy到 SysDataBuf,

e.IoCallDriver 把密文向下传,写入HardDisk。

f.恢复内存的明文 RtlCopyMemory(SysDataBuf,SysDataBufFirst, ulWriteLen);.

3.解密的大致过程:
a.IoCallDriver 读到密文
b,解密
c。IoCompleteRequest 搞定

我的开发环境:
IFS2600,SFilter的代码却是for XP SP1的
xianghb
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
64位驱动开发之读写驱动程序IRP_MJ_READ和IRP_MJ_WRITE的IO
a756598009的博客
06-13 626
读写驱动程序IRP_MJ_READ和IRP_MJ_WRITE的IO请求包(IRP)
IRP的超时处理
125096
08-06 627
EXE部分 #include #include #include #include "Ioctl.h" int main (void) { char linkname[]="\\\\.\\HelloDDK"; HANDLE hDevice = CreateFileA(linkname, GENERIC_READ | GENERIC_WRITE, 0, NULL,
I/O Request Packet
zhuo_zhibin的专栏
09-14 5868
第5章 I/O Request Packet 5.1 数据结构 在处理 I/O 请求上,有两个重要的数据结构:IRP(I/O request packet)和 IO_STACK_LOCATION 5.1.1 IRP 的结构 下面是在 windbg 里得到的 IRP 结构: nt!_IRP +0x000 Type : Int2B +0x002 Size
驱动开发:内核文件读写系列函数
最新发布
CSDN
06-09 1万+
在应用层下的文件操作只需要调用微软应用层下的`API`函数及`C库`标准函数即可,而如果在内核中读写文件则应用层的API显然是无法被使用的,内核层需要使用内核专有API,某些应用层下的API只需要增加Zw开头即可在内核中使用,例如本章要讲解的文件与目录操作相关函数,多数ARK反内核工具都具有对文件的管理功能,实现对文件或目录的基本操作功能也是非常有必要的。 首先无论在内核态还是在用户态,我们调用的文件操作函数其最终都会转换为一个IRP请求,并发送到文件系统驱动上的`IRP_MJ_READ`派遣函数里面,这
文件透明加解密程序源码
07-31
Sfilter允许开发者编写驱动程序,这些驱动程序可以监听文件系统的读写操作,进而实现在后台对文件的加解密。 透明加解密的核心在于驱动程序,它工作在操作系统内核层,当应用程序尝试访问一个文件时,驱动会自动...
Sencrypt_sfilf.rar_加密解密_Visual_C++_
08-11
在压缩包中的"Sencrypt_sfilf"文件可能是源代码、编译后的动态链接库(DLL)或者是一个示例项目,用于展示如何在Visual C++中集成Sfilter进行透明加解密。如果是一个示例项目,开发者可以通过阅读代码了解具体的实现...
文件过滤驱动_闲暇时写的透明加解密过滤驱动,只支持流加密.zip
04-04
在这个压缩包中,包含了一个名为 "2005-03-17_sfilter.c" 的源代码文件,很可能是实现了上述透明加解密功能的C语言源代码。开发人员可能使用了内核编程技术,如IRP(I/O请求包)处理,来拦截文件系统调用,以便在...
透明加解密代码
02-29
经典的透明加解密代码,采用sfilter架构实现。
微软sfilter源码
07-28
微软文件过滤驱动架构,大家可以在上面略作修改实现自己的需求,值得参考!
文件驱动小例子SFilter
11-29
这个文档对刚刚接触文件过滤驱动开发的新手很有帮助,但愿能帮到您,
Sfilter_stack.rar_sFILTER
09-19
《Sfilter设备栈分析详解》 在IT领域,尤其是在网络通信和系统安全方面,Sfilter是一个经常被提及的工具,它主要用于网络数据包过滤和分析。本文将深入探讨Sfilter的设备栈分析,帮助读者理解其工作原理和应用价值...
sfilter(DDK).rar_文件透明加密_透明加密
09-24
Windows操作系统中,sfilter(DDK)是一个常用的文件过滤驱动开发工具包,它可以帮助开发者实现文件的透明加密功能。 sfilter(DDK)是由微软提供的驱动开发工具,它包含了开发文件系统过滤驱动所需的所有组件和...
文件透明加解密系统研究与实现(有源代码)
05-14
这种系统的核心是文件系统过滤驱动,它在操作系统内核层工作,拦截文件系统的读写操作,实现对文件内容的动态加解密。 在《基于Windows文件系统过滤驱动的文件透明加解密系统的研究与实现》这篇论文中,作者深入...
Sfilter过滤驱动框架
zyorz的博客
05-07 1456
原理Sfilter是设备栈绑定的形式绑定的,驱动自己生成一个设备(过滤设备对象),调用系统提供的绑定API,绑定到目标设备上。并返回一个在未绑定之前目标设备所在设备栈的最顶层设备。这样发往下层的IRP或者发往上层的数据都会被过滤设备截获。实现绑定API: IoAttachDevice() IoAttachDeviceToDeviceStackSafe(2000 SP4以及XP以上) IoAtt
文件系统过滤驱动-Sfilter流程解析
05-09 1649
1> IFS 流程图 a.生成一个控制设备.当然此前你必须给控制设置指定名称. b.设置Dispatch Functions. c.设置Fast Io Functions. d.编写一个my_fs_notify回调函数,在其中绑定刚激活的FS CDO. e.使用wdff_reg_notify调用注册这个回调函数。 f.编写默认的dispatch functions. g.处理
基于文件过滤驱动的透明加密那点事儿
无极空间的专栏
04-16 742
文件透明加密这点事儿,从2001年开始出现基于API HOOK的方式开始到现在,已经十几年了,有细心人按技术实现的方式将其细分为4代,分别是基于API HOOK的第一代技术、基于文件过滤驱动(加清缓存)的第二代技术、使用Layerfsd的双缓冲第三代技术和基于微软新一代minifilter框架的Layerfsd双缓冲第四代技术。第一代和第二代的技术划分基本上没有异议,所谓的第四代很多人并不认同,认为使用minifilter框架算不上是技术突破,其技术实现仍然是基于Layerfsd的双缓冲技术,...
sfilter
sunhf_my的专栏
05-24 2154
整理自:http://topic.csdn.net/t/20060629/11/4849948.html 好资料如下:     书:Windows   NT   File   System   Internals,IFS   DDK文档。     零碎资料:驱动开发网,OSR(它的新闻组很赞),sysintels.com,以及DDK的源代码。         最后
Windows文件系统过滤驱动开发教程升级版:sfilter范例详解
在第一版的基础上,作者将原有的自编代码替换为微软标准的文件过滤驱动范例sfilter,以便提供更加符合业界最佳实践的代码示例。 章节1.改版序讲述了原版文章的背景和此次更新的原因,即为了满足读者对高质量代码...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值