HIPS(Sfilter)

最新推荐文章于 2022-05-16 08:32:29 发布
最新推荐文章于 2022-05-16 08:32:29 发布
阅读量366 收藏
点赞数
分类专栏: windows 驱动开发 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/90752690
版权
windows 同时被 3 个专栏收录
105 篇文章 15 订阅
订阅专栏
内核
85 篇文章 6 订阅
订阅专栏
驱动开发
83 篇文章 10 订阅
订阅专栏

文件过滤那么就是相关分发函数的处理

FilterCreate(创建)

FilterRead(一般不拦截,加解密处理)

FilterWrite(修改,加解密处理)

FilterSetInfo(删,重命名,IRP_MJ_SET_INFORMATION)

Filterclose(一般不拦截,写关闭拦截)

FIlterClean(写关闭)

代码片段

  DriverObject->MajorFunction[IRP_MJ_CREATE] = sfCreate;
    //DriverObject->MajorFunction[IRP_MJ_CREATE_NAMED_PIPE] = SfCreate;
    //DriverObject->MajorFunction[IRP_MJ_CREATE_MAILSLOT] = SfCreate;

 	DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = sfDeviceIoControl;//主要弹窗操作
 	DriverObject->MajorFunction[IRP_MJ_SET_INFORMATION] = sfSetInformation;//监控文件操作
 	DriverObject->MajorFunction[IRP_MJ_WRITE] = sfWrite;
	DriverObject->MajorFunction[IRP_MJ_READ] = sfRead;

    DriverObject->MajorFunction[IRP_MJ_FILE_SYSTEM_CONTROL] = SfFsControl;
    DriverObject->MajorFunction[IRP_MJ_CLEANUP] = sfCleanup;
    DriverObject->MajorFunction[IRP_MJ_CLOSE] = sfClose;
NTSTATUS 
sfCreate(PDEVICE_OBJECT lpDevice, PIRP lpIrp)
{
    PLIST_ENTRY						CurrentList				= NULL;
    USER_RESULT						R3UserResult			= User_Pass;
    NAME_LOOKUP_FLAGS				LookupFlags				= 0;
    PNAME_CONTROL					lpNameControl			= NULL;
	NTSTATUS						ntStatus					= STATUS_SUCCESS;
    ULONG							ulInfo					= 0;
    BOOLEAN							bSkipped				= FALSE;
    ULONG							ulDisposition			= 0;
    KEVENT							waitEvent				= {0};
	IO_STACK_LOCATION				*lpIrpStack				= IoGetCurrentIrpStackLocation(lpIrp);
	PFILE_OBJECT					lpFileObject			= lpIrpStack->FileObject;
	PTWOWAY							pTwoWay					= NULL;
	WCHAR							wszLongName[MAX_PATH]	= {0};
	WCHAR							wszFileName[MAX_PATH]	= {0};
	WCHAR							wszDeviceName[MAX_PATH] = {0};
	UNICODE_STRING					ustrDeviceName			= {0};
	UNICODE_STRING					ustrRule				= {0};
	BOOLEAN							bPopWindow				= TRUE;

    if (IS_MY_CONTROL_DEVICE_OBJECT(lpDevice))
    {

        lpIrp->IoStatus.Status = ntStatus;
        lpIrp->IoStatus.Information = ulInfo;

        IoCompleteRequest(lpIrp, IO_NO_INCREMENT);

        return ntStatus;
    }
    else if (!IS_MY_DEVICE_OBJECT(lpDevice))
    {
        lpIrp->IoStatus.Status = ntStatus = STATUS_INVALID_PARAMETER;
        lpIrp->IoStatus.Information = ulInfo;

        IoCompleteRequest(lpIrp, IO_NO_INCREMENT);

        return ntStatus;
    }
    else//过滤设备
    {
        PSFILTER_DEVICE_EXTENSION lpDevExt = (PSFILTER_DEVICE_EXTENSION)(lpDevice->DeviceExtension);
        PIO_SECURITY_CONTEXT securityContext = lpIrpStack->Parameters.Create.SecurityContext;

        if (
            lpIrp->RequestorMode == KernelMode || 
			IsDir(lpIrpStack) == TRUE ||
            PsGetCurrentProcessId() == g_hSystemProcID ||
            FlagOn(lpIrpStack->Flags, SL_OPEN_TARGET_DIRECTORY) ||
            (lpIrp->Flags & IRP_PAGING_IO) ||//IRP_NOCHACHE并且非IRP_XXX_PAGING_IO,也就是用户设置FILE_NO_INTERMEDIATE_BUFFERING,不需要进入缓存,流程APP->io->fsd->disk,
            (lpIrp->Flags & IRP_SYNCHRONOUS_PAGING_IO))//2.IRP_CACHE并且非IRP_XXX_PAGING_IP,就是FSD->>CC->mm,3IRP_PAGING_IO情况2中mm-》FSSD——》DISK只进入内存,并没有进入文件系统,反正是有内核内存管理器发的irp
        {
            bSkipped = TRUE;
            goto _EXIT;
        }


        ulDisposition = (lpIrpStack->Parameters.Create.Options >> 24) & 0xFF;//高八位

        if (ulDisposition == FILE_CREATE || ulDisposition == FILE_OVERWRITE || ulDisposition == FILE_OVERWRITE_IF)
        {
			//修改打开?
        }
        else
        {
			bPopWindow = FALSE;
        }

        // 在create时获取文件路径

		if (FlagOn(lpIrpStack->Flags, SL_OPEN_TARGET_DIRECTORY)) 
        {
            SetFlag(LookupFlags, NLFL_OPEN_TARGET_DIR);
        }

        if (lpDevExt->NLExtHeader.DosName.Length != 0) 
        {
            SetFlag(LookupFlags, NLFL_USE_DOS_DEVICE_NAME);
        }
      
        if (FlagOn(lpIrpStack->Parameters.Create.Options, FILE_OPEN_BY_FILE_ID)) 
        {
            SetFlag(LookupFlags, NLFL_OPEN_BY_ID);
        }

		SetFlag(LookupFlags, NLFL_IN_CREATE);
      
        ntStatus = GetFileNameFromObject(&lpNameControl, LookupFlags, lpIrpStack->FileObject, lpDevice);//拿到文件名

        if (lpNameControl == NULL ||
			!NT_SUCCESS(ntStatus))
        {
            // 允许
            bSkipped = TRUE;
            goto _EXIT;
        }

        if (IsShortNamePath(lpNameControl->Name.Buffer))
        {
			//实际上应该处理短格式文件名
			ConverShortToLongName(wszLongName, lpNameControl->Name.Buffer, sizeof(WCHAR)*MAX_PATH);
			RtlCopyMemory(lpNameControl->Name.Buffer, wszLongName, sizeof(WCHAR)*MAX_PATH);
        }

		ustrDeviceName.Buffer = wszDeviceName;
		ustrDeviceName.Length = 0;
		ustrDeviceName.MaximumLength = sizeof(WCHAR)*MAX_PATH;

		RtlCopyUnicodeString(&ustrDeviceName, &lpNameControl->Name);
		//RtlCopyMemory(wszDeviceName, lpNameControl->Name.Buffer, MAX_PATH*sizeof(WCHAR));、
		//UstrDeviceName:\device\harddiskvolume3\doc\1.txt
		//wszFileName:C:\doc\1.txt要从上面类型转下面符号链接的格式

		if (!GetNTLinkName(ustrDeviceName.Buffer, wszFileName))
		{
            bSkipped = TRUE;
            goto _EXIT;
		}

		RtlInitUnicodeString(&ustrDeviceName, wszFileName);
		RtlCopyUnicodeString(&lpNameControl->Name, &ustrDeviceName);



		RtlInitUnicodeString(&ustrRule, L"C:\\WINDOWS\\SYSTEM32\\*\\*.SYS");//定义规则匹配,忽略大小写,必须全是大写

		if (!IsPatternMatch(&ustrRule, &lpNameControl->Name, TRUE))
		{
            //bSkipped = TRUE;
            //goto _EXIT;
			bPopWindow = FALSE;
		}
		else
		{
			DbgPrint("File:%wZ\n", &lpNameControl->Name);
			DbgPrint("Noted: rule matched\n");
		}

		if (bPopWindow)
		{
			R3UserResult = hipsGetResultFromUser(L"创建", lpNameControl->Name.Buffer, NULL, User_DefaultNon);
		}

        if (R3UserResult == User_Block)
        {
            //禁止
            lpIrp->IoStatus.Information = 0;
            lpIrp->IoStatus.Status = STATUS_ACCESS_DENIED;
            IoCompleteRequest(lpIrp, IO_NO_INCREMENT);
            ntStatus = STATUS_ACCESS_DENIED;
            bSkipped = FALSE;

            goto _EXIT;
        }
//使用IOCOPY方式下发,需要最终的结果,成功失败
        IoCopyCurrentIrpStackLocationToNext(lpIrp);

        KeInitializeEvent(&waitEvent,
                          NotificationEvent,
                          FALSE);

        IoSetCompletionRoutine(lpIrp,
                               FilterCreateCompletion,
                               &waitEvent,
                               TRUE,
                               TRUE,
                               TRUE);

        ntStatus = IoCallDriver(((PSFILTER_DEVICE_EXTENSION)lpDevice->DeviceExtension)->NLExtHeader.AttachedToDeviceObject,
                              lpIrp);

        if (ntStatus == STATUS_PENDING)
        {
            ntStatus = KeWaitForSingleObject(&waitEvent,
                                           Executive,
                                           KernelMode,
                                           FALSE,
                                           NULL);
        }

        ntStatus = lpIrp->IoStatus.Status;

        if (NT_SUCCESS(ntStatus))
        {

			//如果HASH表中没有的话,此处将获得的文件名放入HASH表中,
			{
				PHASHDATA lpData= ExAllocatePoolWithTag(NonPagedPool, sizeof(HASHDATA), 'HSAH');
				if (lpData)
				{
					RtlZeroMemory(lpData, sizeof(HASHDATA));
					lpData->lpNameControl = lpNameControl;//文件名必须在创建时候并且返回irp成功,得到的才是可靠的,读写都是不可靠,因为以后操作不依赖文件名的,依赖lpFileObject
					lpNameControl = NULL;
					LockWrite(&g_HashTableLock);
					Insert((DWORD)lpFileObject, lpData, g_pHashTable);//文件内核对象作为Key,文件名作为value
					UnLockWrite(&g_HashTableLock);
				}
			}
        }

        IoCompleteRequest(lpIrp, IO_NO_INCREMENT);
    }

_EXIT:
    if (bSkipped)
    {
        IoSkipCurrentIrpStackLocation( lpIrp );
        ntStatus = IoCallDriver(((PSFILTER_DEVICE_EXTENSION)lpDevice->DeviceExtension)->NLExtHeader.AttachedToDeviceObject, lpIrp);
    }

    if (lpNameControl != NULL)
    {
        NLFreeNameControl(lpNameControl, &gSfNameBufferLookasideList);

    }

    return ntStatus;
}

写入

 

NTSTATUS
sfWrite(PDEVICE_OBJECT lpDevice, PIRP lpIrp)
{
    PLIST_ENTRY				CurrentList			= NULL;
    USER_RESULT				R3UserResult		= User_Pass;
    PNAME_CONTROL			lpNameControl		= NULL;
    BOOLEAN					bSkipped			= FALSE;
	NTSTATUS				Status				= STATUS_SUCCESS;
    ULONG					ulInfomation		= 0;
	IO_STACK_LOCATION		*lpIrpStack			= IoGetCurrentIrpStackLocation(lpIrp);
	PFILE_OBJECT			lpFileObject		= lpIrpStack->FileObject;
	PTWOWAY					pTwoWay				= NULL;
	UNICODE_STRING			ustrRule			= {0};

    if (IS_MY_CONTROL_DEVICE_OBJECT(lpDevice))
    {
        lpIrp->IoStatus.Status = Status;
        lpIrp->IoStatus.Information = ulInfomation;

        IoCompleteRequest(lpIrp, IO_NO_INCREMENT);

        return Status;
    }
    else if (!IS_MY_DEVICE_OBJECT(lpDevice))
    {
        lpIrp->IoStatus.Status = Status = STATUS_INVALID_PARAMETER;
        lpIrp->IoStatus.Information = 0;

        IoCompleteRequest(lpIrp, IO_NO_INCREMENT);

        return Status;
    }
    else
    {
        PSFILTER_DEVICE_EXTENSION lpDevExt = (PSFILTER_DEVICE_EXTENSION)(lpDevice->DeviceExtension);

        if (
            KeGetCurrentIrql() > APC_LEVEL ||
            PsGetCurrentProcessId() == g_hSystemProcID ||
            (lpIrp->Flags & IRP_PAGING_IO) ||//虚拟内存缓存机制发下来的
            (lpIrp->Flags & IRP_SYNCHRONOUS_PAGING_IO))
        {
            bSkipped = TRUE;
            goto _Exit;
        }

		//此处需要通过FileObject获得文件名

		pTwoWay = Find((DWORD)lpFileObject, g_pHashTable);//lpFileObject:lpIrpStack->FileObject;在irp栈上
		if (pTwoWay == NULL)
		{
            bSkipped = TRUE;
            goto _Exit;
		}
		lpNameControl = pTwoWay->data.lpNameControl;

		RtlInitUnicodeString(&ustrRule, L"C:\\WINDOWS\\SYSTEM32\\*\\*.SYS");
		
		if (!IsPatternMatch(&ustrRule, &lpNameControl->Name, TRUE))
		{
            bSkipped = TRUE;
            goto _Exit;
		}

		R3UserResult = hipsGetResultFromUser(L"写入", lpNameControl->Name.Buffer, NULL, User_DefaultNon);

        if (R3UserResult == User_Block)
        {
            //禁止
            lpIrp->IoStatus.Information = 0;
            lpIrp->IoStatus.Status = STATUS_ACCESS_DENIED;
            IoCompleteRequest(lpIrp, IO_NO_INCREMENT);
            Status = STATUS_ACCESS_DENIED;
            bSkipped = FALSE;

            goto _Exit;
        }

        //允许
        bSkipped = TRUE;
        goto _Exit;
    }

_Exit:
    if (bSkipped)
    {
        IoSkipCurrentIrpStackLocation( lpIrp );
        Status = IoCallDriver(((PSFILTER_DEVICE_EXTENSION)lpDevice->DeviceExtension)->NLExtHeader.AttachedToDeviceObject, lpIrp);
    }

    return Status;
}

重命名和删除

 

kernweak
关注
专栏目录
sfilter流程浅析
人是会思考的一棵苇草
09-18 2888
基本思路其实不复杂,sfilter先创建一个control device object,用于接受应用程序的控制,然后创建多个device object,绑定到文件系统驱动的device object上(譬如NTFS,FAT,CDFS,等等),这里要注意不要绑到文件系统识别器(file system recognizer)上,它是用来加载真正的文件系统驱动程序的。绑定完文件系统驱动的device o
Sfilter过滤驱动框架
zyorz的博客
05-07 1498
原理Sfilter是设备栈绑定的形式绑定的,驱动自己生成一个设备(过滤设备对象),调用系统提供的绑定API,绑定到目标设备上。并返回一个在未绑定之前目标设备所在设备栈的最顶层设备。这样发往下层的IRP或者发往上层的数据都会被过滤设备截获。实现绑定API: IoAttachDevice() IoAttachDeviceToDeviceStackSafe(2000 SP4以及XP以上) IoAtt
Sfilter过滤程序C源文件
06-01
Sfilter过滤程序C源文件 Sfilter过滤程序C源文件
sfilter
sunhf_my的专栏
05-24 2210
整理自:http://topic.csdn.net/t/20060629/11/4849948.html 好资料如下:     书:Windows   NT   File   System   Internals,IFS   DDK文档。     零碎资料:驱动开发网,OSR(它的新闻组很赞),sysintels.com,以及DDK的源代码。         最后
Sfilter过滤
kernweak的博客
06-03 893
文件监控技术分为hook,过滤,回调。 文件监控系统就是绑定和过滤,进程的各种操作被封装成一个IRP,再发给驱动的设备对象,驱动的设备对象通过各种分发函数处理操作,过滤就是在设备对象上面再绑定一个新的设备对象,先经过我们的设备对象。在去原来的设备对象。 分层驱动框架与过滤 irp从上往下经过不同设备栈,先经过文件过滤驱动设备(由文件过滤驱动创建),文件卷设备(盘符C盘D盘这些),磁盘设备...
[Sfilter]在SfCreate()函数一开始得到文件名的方法(含长短名转换)
trents的专栏
08-22 2189
转自:http://bbs3.driverdevelop.com/read.php?tid-110833.html 编译环境:ifs2003 目标系统:windowsXP + sp2 基本是按照楚狂人的教程来的,长短名转换确实挺麻烦,已通过测试。 在驱网看了很多好文章,心底有很多谢意,也许这个东西能对别人有用。 FYI: //get the name with FILE_OBJ
Sfilter_stack.rar_sFILTER
09-19
《Sfilter设备栈分析详解》 在IT领域,尤其是在网络通信和系统安全方面,Sfilter是一个经常被提及的工具,它主要用于网络数据包过滤和分析。本文将深入探讨Sfilter的设备栈分析,帮助读者理解其工作原理和应用价值...
WDK驱动自带原汁原味的sfilter源代码
12-24
标题中的“WDK驱动自带原汁原味的sfilter源代码”指的是Windows Driver Kit(WDK)中包含的SFilter驱动程序的原始源代码。SFilter是一个简单的文件系统过滤驱动,它提供了一个基础模板,用于开发者研究和学习如何...
微软sfilter源码
07-28
微软的SFilter源码是微软提供的一个用于文件系统过滤驱动的参考实现,它基于Windows操作系统。文件过滤驱动在系统中扮演着重要的角色,允许开发者在文件系统操作(如读取、写入、创建、删除等)之前或之后插入自定义...
HIPS主机入侵防御系统 开源版
01-24
HIPS主机入侵防御系统 开源版 主机入侵防御系统
易语言源码易语言驱动禁止创建进程源码.rar
02-22
易语言源码易语言驱动禁止创建进程源码.rar 易语言源码易语言驱动禁止创建进程源码.rar 易语言源码易语言驱动禁止创建进程源码.rar 易语言源码易语言驱动禁止创建进程源码.rar 易语言源码易语言驱动禁止创建进程源码.rar 易语言源码易语言驱动禁止创建进程源码.rar
撸者浏览器V.2.0测试版(易语言程序)
08-26
撸者浏览器V.2.0测试版!无多页面,有打印,刷新,前进,后退,主页(百度)等多种功能,喜欢的下啊!
文件,注册表过滤--Sfilter、Minifilter
05-16 1782
本公众号分享的所有技术仅用于学习交流,请勿用于其他非法活动,如有错漏,欢迎留言交流指正 文件,注册表过滤 分层驱动框架 NT驱动框架:单层驱动,只能接受自己进程的IRP Sifileter驱动框架:多层驱动,接受所有进程的IRP 过滤:分层驱动中再加一层而不影响它的上下层,以过滤它们之间的数据,对数据或行为进行安全控制。过滤是通过设备绑定实现的(有多少个文件卷设备就生成多少个文件过滤驱动设备对象一一绑定,这样,发给各个卷设备对象的IRP都会被监控到)。 磁盘过滤驱动:用于文件还原 绑定与..
SFilter框架理解
zhuhuibeishadiao
04-18 8172
控制设备(接受我们自己的客服端)----过滤设备(接受别的进程的IRP) IRP栈每层对应的设备不同   绑定后返回的:最顶层的设备 看图 为什么返回最顶层,当我们的设备处理好后要发给下面的 而下面的第一个就是最顶层的设备 看图理解 过滤 分层驱动中再加一层而不影响它的上下层,以过滤它们之间的数据,对数据或行为进行安全控制。过滤是通过设备绑定实现的。 图:
minifilter/sfilter较为精确的判断是打开还是新建操作
zhuhuibeishadiao
09-23 2466
写这篇文章的原因是看到一些代码判断不准确, 导致效果很奇怪很奇怪,当时我哭晕在WC. 见过奇奇怪怪的判断,很无语. 于是有了这篇文章. createfile可以新建文件和打开文件 这个不多说了 在文件过滤系统中IRP_MJ_CREATE 怎么判断是open还是create 无论是minifilter还是sfilter, 判断基本都相同,只不过sfilter在完成例程,min...
编译 sfilter 出现的问题与解决
xum2008的专栏
01-30 1247
一般情况下,对于MS 提供的的文件系统的框架,它对于一些东西已经进行了封装,做成了一个静态库的形式,方便我们的调用,但是,今天想在这个框架下加入我们自己的功能代码,实现一些其他的功能的时候,发现了编译老是出错。。。网上查了好久也没有具体的解决方案,所以只有自己去看WDK 的开发文档了,根据文档的介绍,在对sfilter进行编译前,应该首先对lib 文件进行编译,不如在编译sfilter的时
文件系统过滤驱动-Sfilter流程解析
05-09 1696
1> IFS 流程图 a.生成一个控制设备.当然此前你必须给控制设置指定名称. b.设置Dispatch Functions. c.设置Fast Io Functions. d.编写一个my_fs_notify回调函数,在其中绑定刚激活的FS CDO. e.使用wdff_reg_notify调用注册这个回调函数。 f.编写默认的dispatch functions. g.处理
IRP_MJ_SET_INFORMATION
死胖子的博客
03-05 2271
IRP_MJ_SET_INFORMATION 什么时候发送 IO管理器和其他操作系统组件,其他内核模式驱动程序发送 IRP_MJ_SET_INFORMATION 请求。例如当用户模式下的应用程序调用一个像SetEndOfFile 的微软Win32函数,或者是内核模式下的组件调用ZwSetInformationFile时会发送这个请求。 操作:文件系统驱动程序 文件系统驱动程序应当提取和解码
sfilter工作原理解析:监控与拦截文件系统操作
"sfilter流程浅析" sfilter是一个文件系统过滤驱动,它的主要任务是监控并控制对文件系统的访问,特别是在涉及敏感文件操作时。它通过插入到文件系统驱动的IRP(I/O请求包)处理链中,来实现对系统操作的拦截和过滤...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值