挂钩FSD实现文件隐藏

最新推荐文章于 2018-11-21 11:46:15 发布
最新推荐文章于 2018-11-21 11:46:15 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: window系统内核编程 文章标签: null query buffer object resources ddk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zacklin/article/details/7581195
版权 
【文章标题】: 挂钩FSD实现文件隐藏
【文章作者】: index09
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  最近看Fastfat驱动想到的方法。查了一下又是被别人玩过了,还是简单说一下吧。
  当explorer进程查看文件夹信息时,会像卷对应的文件系统发送一个IRP
  MajorFunction == IRP_MJ_DIRECTORY_CONTROL
  MinorFunction == IRP_MN_QUERY_DIRECTORY
  IrpSp->Parameters.QueryDirectory.FileInformationClass == FileBothDirectoryInformation
  当文件系统驱动完成这个请求时
  会在Irp->UserBuffer中返回FILE_BOTH_DIR_INFORMATION组成的数组。
  数组中有当前文件夹下的所有文件信息,我们只要把要隐藏的文件从这里面抹去就可以达到文件隐藏的目的了。
  
  挂载后我们的IRP_MJ_DIRECOTRY_CONTROL路径如下
  NTSTATUS
  DirectoryCtrlRoutineKernel(
                             IN PDEVICE_OBJECT DeviceObject,
                             IN PIRP Irp,
                             PDRIVER_DISPATCH DispRoutine
                             )
  {
      PIO_STACK_LOCATION IrpSp;
      PFILE_BOTH_DIR_INFORMATION fileInfos;
      WCHAR buffer[256];
      UNICODE_STRING uniDirName;
      BOOLEAN bGetDirName;
      PFILE_NAME_INFORMATION pFileNameInfo;
      NTSTATUS status;
      ULONG length, currentOffset;
  
      IrpSp = IoGetCurrentIrpStackLocation(Irp);
  
      ASSERT(IrpSp->MajorFunction == IRP_MJ_DIRECTORY_CONTROL);
  
      //只过滤用户态、FileBothDirectoryInformation请求
      if( Irp->RequestorMode == KernelMode ||
          IrpSp->MinorFunction != IRP_MN_QUERY_DIRECTORY ||
          IrpSp->Parameters.QueryDirectory.FileInformationClass != FileBothDirectoryInformation)
          return DispRoutine(DeviceObject,
                             Irp);
  
      //获得目录名
      pFileNameInfo = (PFILE_NAME_INFORMATION)buffer;
      status = IrpGetFilePath(DeviceObject,
                              IrpSp->FileObject,
                              pFileNameInfo,
                              sizeof(buffer));
  
      //不能获得目录名不处理
      if(!NT_SUCCESS(status))
          return DispRoutine(DeviceObject,
                             Irp);
      uniDirName.Buffer = pFileNameInfo->FileName;
      uniDirName.Length = uniDirName.MaximumLength = pFileNameInfo->FileNameLength;
  
      //发送给下层驱动获得目录信息、若请求没完成不处理
      status = DispRoutine(DeviceObject, 
                           Irp);
      if(!NT_SUCCESS(status) ||
          status ==  STATUS_PENDING)
          return status;
  
      fileInfos = (PFILE_BOTH_DIR_INFORMATION)Irp->UserBuffer;
      DoFileNameFilter(DeviceObject,
                       &uniDirName,
                       fileInfos,
                       &Irp->IoStatus);
  
      status = Irp->IoStatus.Status;
      return status;
  }
  
  这里有一个问题——如何在这个函数中获得文件的全路径。这里只有目录中的文件名信息。
  但是如果我们想隐藏指定目录下的某个文件,我们还必须的到目录的路径。
  在这个函数中Irp->FileObject是当前目录的文件对象,可以利用这个对象一个IRP_MJ_QUERY_INFORMATION请求下发到Fsd来获得文件夹的路径。
  比较麻烦,不知还有没有其他简单的方法,请教各位大侠 :)
  代码如下:
  NTSTATUS
  IrpGetFilePath(
                 IN PDEVICE_OBJECT DeviceObject,
                 IN PFILE_OBJECT FileObject,
                 IN OUT PFILE_NAME_INFORMATION FileNameInfo,
                 IN ULONG Length
                 )
  {
      NTSTATUS status;
      PIRP irp;
      PIO_STACK_LOCATION irpSp;
      KEVENT event;
  
      if(DeviceObject == NULL ||
         FileObject == NULL ||
         FileNameInfo == NULL ||
         Length == 0)
         return STATUS_INVALID_PARAMETER;
  
      //申请一个IRP
      irp = IoAllocateIrp(DeviceObject->StackSize,
                          FALSE);
      if(irp == NULL)
      {
          KdPrint(("allocate irp fail.\n"));
          return STATUS_INSUFFICIENT_RESOURCES;
      }
  
      //填写IRP
      irpSp = IoGetNextIrpStackLocation(irp);
  
      irp->RequestorMode = KernelMode;
      irp->AssociatedIrp.SystemBuffer = FileNameInfo;
      irp->UserBuffer = NULL;
      irpSp->MajorFunction = IRP_MJ_QUERY_INFORMATION;
      irpSp->Parameters.QueryFile.FileInformationClass = FileNameInformation;
      irpSp->Parameters.QueryFile.Length = Length;
      irpSp->FileObject = FileObject;
  
      //使用完成回调实现同步IO
      KeInitializeEvent(&event,
                        NotificationEvent,
                        FALSE);
      IoSetCompletionRoutine(irp,
                             IrpCompleteRoutine,
                             &event,
                             TRUE,
                             TRUE,
                             TRUE);
  
      //下发请求并完成回调
      status = IoCallDriver(DeviceObject,
                            irp);
      if(status == STATUS_PENDING)
      {
          KeWaitForSingleObject(&event,
                                Executive,
                                KernelMode,
                                FALSE,
                                NULL);
      }
      status = irp->IoStatus.Status;
  
      //请求完毕
      IoFreeIrp(irp);
  
      return status;
  }
  
  然后就是一些简单的处理了,就不说了。
  有兴趣可以看看代码 :)
  代码可以隐藏根目录下的hahaha.txt文件(只是看不到,依然可以打开)
最后,这段代码只是过滤了FileBothDirectoryInformation消息,还有很多其它消息也可以获得文件名信息,如果想全面隐藏请一一过滤。
具体消息参考DDK 中的IRP_MJ_DIRECTORY_CONTROL :)
code: http://e.ys168.com/?index09 -> Code

zacklin
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
挂钩SSDT隐藏进程
小麒麟的书桌
10-22 1548
(本文发表于黑访11期上,请勿转载) 新学期又开始了,一来到学校我口袋的资金剧烈减少,我估计因该和现在轻微的通货膨胀有关(其实是我开学乱花钱花的),没有办法只好也来黑防算是“骗”点钱花了。嘿嘿。最近大家对于ring0级的研究正如当年的注入一样越来越火,认识的朋友似乎张口闭口都是内核,看来这有可能是以后的趋势了,在下不才在此献上一篇文章,算是抛砖引玉。希望以后有更好的文章发表出来。^_^
进程隐藏与进程保护(SSDT Hook 实现)(一)
weixin_34195364的博客
06-23 139
文章目录: 1. 引子 – Hook 技术: 2. SSDT 简介: 3. 应用层调用 Win32 API 的完整执行流程: 4. 详解 SSDT: 5. SSDT  Hook 原理: 6. 小结: 1. 引子 – Hook 技术:对于 Hook 技术,可以分为两块: 第一块是在 Ring3 层的 Hook,俗称应用层 Hook 技术; 另一块是在 Ring0 层的 Hook,俗...
FSD HOOK与SSDT HOOK恢复简单思路
weixin_34292924的博客
09-03 268
FSD 解释: File System Driver文件系统驱动程序,分为本地FSD和远程FSD。 (1) 本地FSD:允许用户访问本地计算机上的数据 ——本地FSD负责向I/O管理器注册自己,当开始访问某个卷时,I/O管理器调用FSD来进行卷识别。 ——完成卷识别后,本地FSD创建一个设备对象以表示所装载的文件系统。 ——I/O管理器通过卷参数块(VPB)在存...
Windows驱动学习(六)-- FSD钩子
安全杂货铺
11-21 2473
教程参考自:https://www.bilibili.com/video/av26193169/?p=8 代码地址:https://github.com/G4rb3n/Windows-Driver/tree/master/MT_FSDHook 1. 概述 FSD钩子是一种较实用的过滤方法,对比于上一章的添加键盘过滤设备,这种方法更显得简单高效。 2. 驱动编写 2.1 驱动入口函数 入口函数简单明...
NTFS FSD HOOK
Lycorisradiata
04-18 568
NTFS FSD HOOKNTSTATUS FSDHookControl( IN BOOLEAN IsHook ) { NTSTATUS status = STATUS_SUCCESS; UNICODE_STRING uNTFS = {0}; PDRIVER_OBJECT NTFS = NULL; RtlInitUnicodeString( &uNTFS, L"\\Fi
ext2fsd ext文件系统解析
08-13
总的来说,EXT文件系统是Linux生态的重要组成部分,而ext2fsd则是Windows用户与EXT文件系统交互的桥梁。理解EXT文件系统的结构和ext2fsd的工作原理,对于进行跨平台的系统管理和开发工作具有重要意义。
Ext2Fsd0文件
09-02
Ext2Fsd0 文件是与Linux文件系统相关的资源,它主要在Windows环境下用于读取和写入Linux系统中常见的EXT2、EXT3或EXT4格式的文件系统。这个工具对于那些需要在Windows操作系统中访问存储在Linux分区上的数据的用户来...
FileFilter-文件隐藏.rar
08-28
标题中的“FileFilter-文件隐藏.rar”提示我们这是一个关于文件隐藏技术的压缩包,而关键词“minifilter”和“Windows内核”则表明这种隐藏是通过Windows操作系统内核的过滤驱动来实现的。让我们深入了解一下这个...
FSD1:样本文件
03-21
JavaScript通过XMLHttpRequest对象实现AJAX。随着Fetch API的出现,AJAX的使用更加简洁,Fetch API提供了一种更现代、更易于理解和使用的方式来异步获取资源。 【JavaScript库与框架】 JavaScript社区发展迅速,...
fsd888最新发布站程序
01-08
由于压缩包子文件文件名称列表只给出了"fsd888",具体的实现细节无法进一步展开。但根据一般程序的构成,可能包含以下文件:配置文件(如config.php)、数据库脚本、源代码文件(如controllers、models、views)、...
Windows钩子教程
10-23
windows钩子入门教程,适合新手。 来源:一路采撷 Blog:http://blog.csdn.net/MaybeHelios/
文件过滤驱动源代码 过滤层文件系统驱动的完整代码
08-07
过滤层文件系统驱动的完整代码,实现文件的加密,操作截获
minifilter 文件透明加密源码
12-14
基于minifilter框架下的透明加解密源码。 1 手工加载时自动增加system,explorer.exe,notepad.exe为监控进程 2 添加了异或加密算法 3 取消了不对c分区监控的限制,因为很多虚拟机里只有C分区 安装和加载说明 1 把engine.inf,engine.sys拷贝到虚拟机里 2 右击engine.inf,点安装 3 手工加载进cmd, 输入 sc start engine 4 手工停止进cmd,输入 sc stop engine 5 测试时请关闭杀毒软件,代码与诺顿杀毒软件的冲突是由于刷缓存引起的,是能解决的,不过初学者不必关心这个
inline hook 监控文件操作源码
08-28
inline hook 监控文件操作源码
文件系统fsd hook (一)原理
weixin_30602505的博客
10-26 205
要知道FSDHook原理,首先我们必须了解什么是FSD,也就是FileSystem。我们电脑上的文件系统ntfs.sys,他有个设备\FileSystem\Ntfs,这个设备是用IoCreateDevice创建,跟我们写驱动的时候一样,那么我们可以通过这个设备,来对ntfs做一些操作,跟ntfs驱动进行一些通信。我们来看IDA分析: //这个就是我们以前的代码,创建一个通信设备 RtlI...
用拷贝钩子实现文件夹的监控
webber84的专栏
11-27 1316
ICopyHook是一个用于创建拷贝钩子处理程序COM接口,它决定一个文件夹或者打印机对象是否可以被移动,拷贝,重命名或删除。Shell在执行这些操作之前,会调用ICopyHook接口的CopyCallback方法对它们进行验证。CopyCallback返回一个int值指示Shell是否应该继续执行这个操作。返回值IDYES表示继续,而返回值IDNO和IDCANCEL则表示终止。一个文件夹对象
FSDHOOK恢复
125096
08-30 604
WCHAR DriverName[] = L"\\FileSystem\\ntfs"; WCHAR DriverPath[] = L"\\??\\C:\\WINDOWS\\system32\\drivers\\ntfs.sys"; RestoreFSDMajorRoutine(&DriverName, &DriverPath, IRP_MJ_CREATE); //函数名: Resto
R0 下 FSD inline Hook 防删除
Rootkit ﹏
09-02 932
<br />/*<br />                By 炉子[0GiNr]<br />                http://hi.baidu.com/breakinglove_<br />                http://0ginr.com<br />*/<br />typedef NTSTATUS (*pfnDrvDispath)(<br />                                  IN PDEVICE_OBJECT        DeviceOb
note : when FSD HOOK + IRP_MJ_CREATE, judge pFileObject->Flags
谢绝留言与私信
09-19 1304
FSD HOOK后,  为了提高效率, 判断 FILE_OBJECT.Flags, 用于比对 IRP_MJ_CREATE 操作的黑名单. BOOLEAN FileObjectFlagIsFileOpen(ULONG_PTR ulFlags) { /// #define FO_SYNCHRONOUS_IO 0x00000002 /// 每秒钟一次的文件

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值