山寨U盘加解密-编程技术-看雪-安全社区|安全招聘|kanxue.com

山寨U盘加解密

发表于: 2013-3-26 20:29 5906

山寨U盘加解密

tangwenbin 活跃值

2013-3-26 20:29

5906

翻阅硬盘，偶然发现了很久以前的许多代码，当初只是改着玩一玩，也没有往深了写，发出来坐等大牛各种拍砖。大概看了一下，ms创建了一个线程来处理读写请求。改的diskperf，实在很挫，难登大雅之堂。
VOID
DiskPerfReadWriteThread(
  IN PVOID Context
)
{
  PDEVICE_OBJECT pDevice=(PDEVICE_OBJECT)Context;
  PDEVICE_EXTENSION DevExt=pDevice->DeviceExtension;
  PLIST_ENTRY ReqEntry=NULL;
  NTSTATUS status;
  PIRP Irp=NULL;
  PIO_STACK_LOCATION Irpsp=NULL;
  ULONG length=0;
  LARGE_INTEGER offset={0};
  PUCHAR sysBuf=NULL;

  KeSetPriorityThread(KeGetCurrentThread(), LOW_REALTIME_PRIORITY);
  for (; ; )
  {
    KeWaitForSingleObject(
      &DevExt->ReqEvent,
      Executive,
      KernelMode,
      FALSE,
      NULL);
    if (DevExt->ThreadTermFlag)
    {
      PsTerminateSystemThread(STATUS_SUCCESS);
      return ;
    }
    while (ReqEntry=ExInterlockedRemoveHeadList(&DevExt->ReqList, &DevExt->ReqLock))
    {
      Irp=CONTAINING_RECORD(ReqEntry, IRP, Tail.Overlay.ListEntry);
      Irpsp=IoGetCurrentIrpStackLocation(Irp);
      if (NULL==Irp->MdlAddress)
      {
        sysBuf=(PUCHAR)Irp->UserBuffer;
      }
      else
      {
        sysBuf=(PUCHAR)MmGetSystemAddressForMdlSafe(Irp->MdlAddress, NormalPagePriority);
      }

/*      if (gPDevice==DevExt->PhysicalDeviceObject || gPDevice==NULL)
      {
        IoSkipCurrentIrpStackLocation(Irp);
        IoCallDriver(DevExt->TargetDeviceObject, Irp);
        continue;
      }*/

/*      if (DiskPerfIsCVolume(DevExt))
      {
        IoSkipCurrentIrpStackLocation(Irp);
        IoCallDriver(DevExt->TargetDeviceObject, Irp);
        continue;
      }*/

      if (!DevExt->VolumeOnline)
      {
        IoSkipCurrentIrpStackLocation(Irp);
        IoCallDriver(DevExt->TargetDeviceObject, Irp);
        continue;
      }

      if(IRP_MJ_READ==Irpsp->MajorFunction)
      {
        IRP_CONTEXT readContext;
        KEVENT event;
        offset=Irpsp->Parameters.Read.ByteOffset;
        length=Irpsp->Parameters.Read.Length;
        readContext.DataBuf=sysBuf;
        readContext.length=length;
        readContext.offset=offset;
        KeInitializeEvent(&event, NotificationEvent, FALSE);
        readContext.Event=&event;

        IoCopyCurrentIrpStackLocationToNext(Irp);
        IoSetCompletionRoutine(
          Irp,
          DiskPerfReadCompletion,
          &readContext,
          TRUE,
          TRUE,
          TRUE);
        status=IoCallDriver(DevExt->TargetDeviceObject, Irp);
        if (status== STATUS_PENDING)
        {
          KeWaitForSingleObject(
            &event,
            Executive,
            KernelMode,
            FALSE,
            NULL);
          status=Irp->IoStatus.Status;
        }
        Irp->IoStatus.Status=STATUS_SUCCESS;
//        IoCompleteRequest(Irp, IO_DISK_INCREMENT);
        continue;
      }
      else
      {
        int i=0;
        IRP_CONTEXT readContext;
        KEVENT event;
        offset=Irpsp->Parameters.Write.ByteOffset;
        length=Irpsp->Parameters.Write.Length;
        readContext.DataBuf=sysBuf;
        readContext.length=length;
        readContext.offset=offset;
        KeInitializeEvent(&event, NotificationEvent, FALSE);
        readContext.Event=&event;

        for(i=0; i<length; i++)
        {
          sysBuf[i]=sysBuf[i]^0xff;
        }

        IoCopyCurrentIrpStackLocationToNext(Irp);
        IoSetCompletionRoutine(
          Irp,
          DiskPerfWriteCompletion,
          &readContext,
          TRUE,
          TRUE,
          TRUE);
        status=IoCallDriver(DevExt->TargetDeviceObject, Irp);
        if (status== STATUS_PENDING)
        {
          KeWaitForSingleObject(
            &event,
            Executive,
            KernelMode,
            FALSE,
            NULL);
          status=Irp->IoStatus.Status;
        }
        Irp->IoStatus.Status=STATUS_SUCCESS;
//        IoCompleteRequest(Irp, IO_DISK_INCREMENT);
        continue;
      }
    }
  }
}

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

diskperf.rar （14.15kb，57次下载）

收藏・7

免费・6

支持

最新回复 (5)
huyongtq 雪币： 121 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 94 粉丝 0 关注私信	huyongtq 2 楼怎么用？怎么加密的？ 2013-4-4 08:21 0
西风X 雪币： 51 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 145 粉丝 0 关注私信	西风X 3 楼谢谢分享。。。。。 2013-4-6 21:05 0
xicao 雪币： 243 活跃值： (204) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 113 粉丝 0 关注私信	xicao 4 楼测试可以用，就是在未装驱动的系统里会提示格式化，容易误删除数据 2013-4-7 10:30 0
catface 雪币： 49 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 313 粉丝 2 关注私信	catface 5 楼我也是这么觉得是不是楼主需要只针对磁盘数据部分加解密磁盘元数据部分还是不加密的好？ 2013-4-8 09:30 0
tangwenbin 雪币： 253 活跃值： (46) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 82 粉丝 0 关注私信	tangwenbin 1 6 楼第一次需要格式化MBR 2013-4-9 15:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

tangwenbin

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (5)
huyongtq 雪币： 121 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 94 粉丝 0 关注私信	huyongtq 2 楼怎么用？怎么加密的？ 2013-4-4 08:21 0
西风X 雪币： 51 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 145 粉丝 0 关注私信	西风X 3 楼谢谢分享。。。。。 2013-4-6 21:05 0
xicao 雪币： 243 活跃值： (204) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 113 粉丝 0 关注私信	xicao 4 楼测试可以用，就是在未装驱动的系统里会提示格式化，容易误删除数据 2013-4-7 10:30 0
catface 雪币： 49 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 313 粉丝 2 关注私信	catface 5 楼我也是这么觉得是不是楼主需要只针对磁盘数据部分加解密磁盘元数据部分还是不加密的好？ 2013-4-8 09:30 0
tangwenbin 雪币： 253 活跃值： (46) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 82 粉丝 0 关注私信	tangwenbin 1 6 楼第一次需要格式化MBR 2013-4-9 15:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复