[分享]FileFilter文件保护-编程技术-看雪-安全社区|安全招聘|kanxue.com

[分享]FileFilter文件保护

发表于: 2012-8-29 12:18 13222

[分享]FileFilter文件保护

guxinyi

2012-8-29 12:18

13222

一个例子，保护xp下计算器C:\WINDOWS\system32\calc.exe，不被删除，不被读写。

MiniFileFilter.rar

这是一个demo，我自己测试了下，没发现什么问题。
有兴趣的兄弟，可以搞下，呵呵。

bin.rar

[课程]FART 脱壳王！加量不加价！FART作者讲授！

上传的附件：

MiniFileFilter.rar （11.64kb，337次下载）
bin.rar （1.85MB，149次下载）

收藏・12

免费・6

支持

最新回复 (27) 1 2 ▶
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 2 楼下载了,谢谢分享 2012-8-29 13:08 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 3 楼有问题，无法安装 2012-8-29 13:48 0
windowsa 雪币： 183 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 305 粉丝 0 关注私信	windowsa 4 楼可以借鉴下思路,应用到自己的软件上.就不会那么随便被xxoo了 2012-8-29 15:55 0
tiany 雪币： 253 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 84 粉丝 0 关注私信	tiany 5 楼碰到XUETR磁盘清0，也成屌丝，没用。 2012-8-29 21:40 0
tihty 雪币： 27 活跃值： (90) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 6 楼又是guxinyi，我喜欢 2012-8-30 08:49 0
zig 雪币： 1021 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	zig 7 楼 ths for sharing........................ 2012-8-30 09:17 0
z许雪币： 1905 活跃值： (1537) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 266 粉丝 4 关注私信	z许 8 楼 2012-8-30 10:10 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 9 楼是LZ太强大呢，还是我太差呢，我怎么就没看明白，不让访问文件，不让读或写，在PreCreate判断请求的访问权限即可。如果在其他地方拒绝，可能会导致问题，比如在Write的时候判断，如果是PagingIO，你拒绝了，系统就会提示缓存写入失败，何必呢。再说，如果你PreCreate都防不住，我想，在其他地方判断也是白搭。其实可以不用XUETR磁盘清0，其实把打开操作直接发往文件系统对象，这个保护就作废了。 2012-8-30 10:49 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 10 楼我看上楼你的金币好多啊 6792小时~~~ 2012-8-30 11:31 0
diybl 雪币： 199 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 98 粉丝 0 关注私信	diybl 11 楼前几天才搞过。。。 2012-8-30 11:32 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 12 楼在win7下有调试输出但是可以读写 2012-8-30 12:30 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 13 楼我的哥，你想得真多。不过挺好的。感谢你的回复。目前我在做这方面的研究，这段代码只是一个demo。看来还是不能偷懒，需要把KasperskyPURE的驱动给解剖了。 2012-8-31 08:54 0
comeon 雪币： 326 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 208 粉丝 0 关注私信	comeon 14 楼为虾米 XP SP3 编译安装，直接BSOD 2012-8-31 10:42 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 15 楼楼上的兄弟，吧dump文件传来看看， 2012-8-31 15:59 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 16 楼 demo在前面。。。 2012-8-31 16:01 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 17 楼驱动层的破坏，根本呢可以不用考虑 2012-8-31 17:53 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 18 楼驱动层的破坏，根本没有考虑的价值。。。。。借用某人一句话。。。。都进内核了，还有什么不可以做的 2012-8-31 17:57 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 19 楼其实我就是想告诉LZ，权限判断在PreCreate中即可，其他地方判断不仅意义不大，反而可能适得其反，其实不是说内核搞破坏的问题。只是有人提到了XUETR清零，我就说了句而已，哈哈，有冒犯的，还请见谅啊 2012-8-31 22:24 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 20 楼删除文件为什么要判断权限？不解 Windows下删除文件的实现方式本质上有以下两种： 1. 使用FILE_DELETE_ON_CLOSE ZwCreateFile和IoCreateFile的CreateOptions 参数可以通过使用FILE_DELETE_ON_CLOSE标志来实现删除文件的功能。顾名思义，使用此标志打开的文件在关闭时会删除该文件。如要在文件过滤驱动中判断是否设置了FILE_DELETE_ON_CLOSE标志，只需截获IRP_MJ_CREATE请求，通过pIrpStack->Parameters.Create.Options判断即可。 2. 使用FileDispositionInformation 这种方式需要使用Native API ZwSetInformationFile，将最后一个参数FileInformationClass设置为FileDispositionInformation即可。ZwSetInformationFile的详细用法可参见DDK。Windows API中的DeleteFile就是使用这种方式实现删除文件功能的。如需要在文件过滤驱动中监视这种方式的删除文件，只需监视IRP_MJ_SET_INFORMATION请求，通过判断pIrpStack->Parameters.SetFile.FileInformationClass是否为FileDispositionInformation且((PFILE_DISPOSITION_INFORMATION)Irp->AssociatedIrp.SystemBuffer)->DeleteFile是否为TRUE来判断是否是删除文件操作。 2012-9-1 10:39 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 21 楼在PreCreate里如何判断我随后的操作时读文件还是写文件？求解 2012-9-1 10:46 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 22 楼你想想，你打开文件的时候，是不是要填写访问权限啊，比如FILE_READ_DATA，FILE_WRITE_DATA之类的，如果你只填了FILE_READ_DATA，那你试试WriteFile能否成功，剩下的，就不用我说了吧。 2012-9-1 11:33 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 23 楼 1，既然你知道在ZwCreateFile的时候置FILE_DELETE_ON_CLOSE标记，那在PreCreate你就能知道该打开操作是要删除文件的呀，拒绝即可。 2.请你看看WDK里关于FileDispositionInformation的说明 Usually, sets the DeleteFile member of a FILE_DISPOSITION_INFORMATION to TRUE, so the file can be deleted when ZwClose is called to release the last open handle to the file object. The caller must have opened the file with the DELETE flag set in the DesiredAccess parameter. 不用我说了吧，我说的判断权限，不是指ZwCreateFile里的DesiredAccess，而是在说，是否拒绝文件的某种操作，一般来讲，在PreCreate即可完成，因为后边的大部分动作，是需要先在ZwCreateFile请求的，如果ZwCreateFile都拒绝了，那后面的操作都没戏了 2012-9-1 11:40 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 24 楼看雪要的就是这种气氛。。。。。 2012-9-1 21:36 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 25 楼 The ZwCreateFile routine creates a new file or opens an existing file. ZwCreateFile 只是创建或者打开一个文件。此时并不知道后续是什么操作，有可能是读文件，也有可能是写文件。你可能会说组ZwCreateFile的参数DesiredAccess 里判断，但是如果DesiredAccess 里指定的是所有的权限，你怎么去判断？ 2012-9-1 22:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

guxinyi

发帖

681

回帖

290

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (27) 1 2 ▶
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 2 楼下载了,谢谢分享 2012-8-29 13:08 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 3 楼有问题，无法安装 2012-8-29 13:48 0
windowsa 雪币： 183 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 305 粉丝 0 关注私信	windowsa 4 楼可以借鉴下思路,应用到自己的软件上.就不会那么随便被xxoo了 2012-8-29 15:55 0
tiany 雪币： 253 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 84 粉丝 0 关注私信	tiany 5 楼碰到XUETR磁盘清0，也成屌丝，没用。 2012-8-29 21:40 0
tihty 雪币： 27 活跃值： (90) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 6 楼又是guxinyi，我喜欢 2012-8-30 08:49 0
zig 雪币： 1021 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	zig 7 楼 ths for sharing........................ 2012-8-30 09:17 0
z许雪币： 1905 活跃值： (1537) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 266 粉丝 4 关注私信	z许 8 楼 2012-8-30 10:10 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 9 楼是LZ太强大呢，还是我太差呢，我怎么就没看明白，不让访问文件，不让读或写，在PreCreate判断请求的访问权限即可。如果在其他地方拒绝，可能会导致问题，比如在Write的时候判断，如果是PagingIO，你拒绝了，系统就会提示缓存写入失败，何必呢。再说，如果你PreCreate都防不住，我想，在其他地方判断也是白搭。其实可以不用XUETR磁盘清0，其实把打开操作直接发往文件系统对象，这个保护就作废了。 2012-8-30 10:49 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 10 楼我看上楼你的金币好多啊 6792小时~~~ 2012-8-30 11:31 0
diybl 雪币： 199 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 98 粉丝 0 关注私信	diybl 11 楼前几天才搞过。。。 2012-8-30 11:32 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 12 楼在win7下有调试输出但是可以读写 2012-8-30 12:30 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 13 楼我的哥，你想得真多。不过挺好的。感谢你的回复。目前我在做这方面的研究，这段代码只是一个demo。看来还是不能偷懒，需要把KasperskyPURE的驱动给解剖了。 2012-8-31 08:54 0
comeon 雪币： 326 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 208 粉丝 0 关注私信	comeon 14 楼为虾米 XP SP3 编译安装，直接BSOD 2012-8-31 10:42 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 15 楼楼上的兄弟，吧dump文件传来看看， 2012-8-31 15:59 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 16 楼 demo在前面。。。 2012-8-31 16:01 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 17 楼驱动层的破坏，根本呢可以不用考虑 2012-8-31 17:53 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 18 楼驱动层的破坏，根本没有考虑的价值。。。。。借用某人一句话。。。。都进内核了，还有什么不可以做的 2012-8-31 17:57 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 19 楼其实我就是想告诉LZ，权限判断在PreCreate中即可，其他地方判断不仅意义不大，反而可能适得其反，其实不是说内核搞破坏的问题。只是有人提到了XUETR清零，我就说了句而已，哈哈，有冒犯的，还请见谅啊 2012-8-31 22:24 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 20 楼删除文件为什么要判断权限？不解 Windows下删除文件的实现方式本质上有以下两种： 1. 使用FILE_DELETE_ON_CLOSE ZwCreateFile和IoCreateFile的CreateOptions 参数可以通过使用FILE_DELETE_ON_CLOSE标志来实现删除文件的功能。顾名思义，使用此标志打开的文件在关闭时会删除该文件。如要在文件过滤驱动中判断是否设置了FILE_DELETE_ON_CLOSE标志，只需截获IRP_MJ_CREATE请求，通过pIrpStack->Parameters.Create.Options判断即可。 2. 使用FileDispositionInformation 这种方式需要使用Native API ZwSetInformationFile，将最后一个参数FileInformationClass设置为FileDispositionInformation即可。ZwSetInformationFile的详细用法可参见DDK。Windows API中的DeleteFile就是使用这种方式实现删除文件功能的。如需要在文件过滤驱动中监视这种方式的删除文件，只需监视IRP_MJ_SET_INFORMATION请求，通过判断pIrpStack->Parameters.SetFile.FileInformationClass是否为FileDispositionInformation且((PFILE_DISPOSITION_INFORMATION)Irp->AssociatedIrp.SystemBuffer)->DeleteFile是否为TRUE来判断是否是删除文件操作。 2012-9-1 10:39 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 21 楼在PreCreate里如何判断我随后的操作时读文件还是写文件？求解 2012-9-1 10:46 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 22 楼你想想，你打开文件的时候，是不是要填写访问权限啊，比如FILE_READ_DATA，FILE_WRITE_DATA之类的，如果你只填了FILE_READ_DATA，那你试试WriteFile能否成功，剩下的，就不用我说了吧。 2012-9-1 11:33 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 23 楼 1，既然你知道在ZwCreateFile的时候置FILE_DELETE_ON_CLOSE标记，那在PreCreate你就能知道该打开操作是要删除文件的呀，拒绝即可。 2.请你看看WDK里关于FileDispositionInformation的说明 Usually, sets the DeleteFile member of a FILE_DISPOSITION_INFORMATION to TRUE, so the file can be deleted when ZwClose is called to release the last open handle to the file object. The caller must have opened the file with the DELETE flag set in the DesiredAccess parameter. 不用我说了吧，我说的判断权限，不是指ZwCreateFile里的DesiredAccess，而是在说，是否拒绝文件的某种操作，一般来讲，在PreCreate即可完成，因为后边的大部分动作，是需要先在ZwCreateFile请求的，如果ZwCreateFile都拒绝了，那后面的操作都没戏了 2012-9-1 11:40 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 24 楼看雪要的就是这种气氛。。。。。 2012-9-1 21:36 0
guxinyi 雪币： 585 活跃值： (568) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 25 楼 The ZwCreateFile routine creates a new file or opens an existing file. ZwCreateFile 只是创建或者打开一个文件。此时并不知道后续是什么操作，有可能是读文件，也有可能是写文件。你可能会说组ZwCreateFile的参数DesiredAccess 里判断，但是如果DesiredAccess 里指定的是所有的权限，你怎么去判断？ 2012-9-1 22:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复