-
-
[原创]【很有时间系列】如何优雅地在内核做dll加载拦截
-
发表于: 2018-5-4 19:57
-
拦截dll加载有两种思路,一种是从文件入手:minifilter、sfilter...反正都是对LdrLoadDll过程中可能出现的IRP进行拦截
比如
还有一种是从dll本身入手,比如把dll的入口点给patch了,这个等下再讲
先讲第一种,最简单的方法当然是拦截CreateFileMapping/CreateSection,它对应的IRP是IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION
注册minifilter就不提了
{
IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION,
FLTFL_OPERATION_REGISTRATION_SKIP_PAGING_IO,
PreCreateSection,
NULL
},FLT_PREOP_CALLBACK_STATUS FLTAPI PreCreateSection(
__inout PFLT_CALLBACK_DATA Data,
__in PCFLT_RELATED_OBJECTS FltObjects,
__deref_out_opt PVOID *CompletionContext
){
if(FltGetRequestorProcessId(Data) == 你要拦截dll加载的进程的PID){
if (Data->Iopb->Parameters.AcquireForSectionSynchronization.SyncType == SyncTypeCreateSection){
PFLT_FILE_NAME_INFORMATION pNameInfo = NULL;
if (NT_SUCCESS(FltGetFileNameInformation(Data, FLT_FILE_NAME_NORMALIZED | FLT_FILE_NAME_QUERY_DEFAULT, &pNameInfo))){还有一种是从dll本身入手,比如把dll的入口点给patch了,这个等下再讲
先讲第一种,最简单的方法当然是拦截CreateFileMapping/CreateSection,它对应的IRP是IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION
注册minifilter就不提了
{
IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION,
FLTFL_OPERATION_REGISTRATION_SKIP_PAGING_IO,
PreCreateSection,
NULL
},FLT_PREOP_CALLBACK_STATUS FLTAPI PreCreateSection(
__inout PFLT_CALLBACK_DATA Data,
__in PCFLT_RELATED_OBJECTS FltObjects,
__deref_out_opt PVOID *CompletionContext
){
if(FltGetRequestorProcessId(Data) == 你要拦截dll加载的进程的PID){
if (Data->Iopb->Parameters.AcquireForSectionSynchronization.SyncType == SyncTypeCreateSection){
PFLT_FILE_NAME_INFORMATION pNameInfo = NULL;
if (NT_SUCCESS(FltGetFileNameInformation(Data, FLT_FILE_NAME_NORMALIZED | FLT_FILE_NAME_QUERY_DEFAULT, &pNameInfo))){ {
IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION,
FLTFL_OPERATION_REGISTRATION_SKIP_PAGING_IO,
PreCreateSection,
NULL
},FLT_PREOP_CALLBACK_STATUS FLTAPI PreCreateSection(
__inout PFLT_CALLBACK_DATA Data,
__in PCFLT_RELATED_OBJECTS FltObjects,
__deref_out_opt PVOID *CompletionContext
){
if(FltGetRequestorProcessId(Data) == 你要拦截dll加载的进程的PID){
if (Data->Iopb->Parameters.AcquireForSectionSynchronization.SyncType == SyncTypeCreateSection){
PFLT_FILE_NAME_INFORMATION pNameInfo = NULL;
if (NT_SUCCESS(FltGetFileNameInformation(Data, FLT_FILE_NAME_NORMALIZED | FLT_FILE_NAME_QUERY_DEFAULT, &pNameInfo))){FLT_PREOP_CALLBACK_STATUS FLTAPI PreCreateSection(
__inout PFLT_CALLBACK_DATA Data,
__in PCFLT_RELATED_OBJECTS FltObjects,
__deref_out_opt PVOID *CompletionContext
){
if(FltGetRequestorProcessId(Data) == 你要拦截dll加载的进程的PID){
if (Data->Iopb->Parameters.AcquireForSectionSynchronization.SyncType == SyncTypeCreateSection){
PFLT_FILE_NAME_INFORMATION pNameInfo = NULL;
if (NT_SUCCESS(FltGetFileNameInformation(Data, FLT_FILE_NAME_NORMALIZED | FLT_FILE_NAME_QUERY_DEFAULT, &pNameInfo))){这时候你已经有了dll路径和FileObject。你可以根据具体需要判断是否需要拦截这个dll
if(需要拦截DLL( ProcessId, Data->Iopb->TargetFileObject, pNameInfo)){
Data->IoStatus.Status = STATUS_ACCESS_DENIED;
result = FLT_PREOP_COMPLETE;
}
。。。。
return result;if(需要拦截DLL( ProcessId, Data->Iopb->TargetFileObject, pNameInfo)){
Data->IoStatus.Status = STATUS_ACCESS_DENIED;
result = FLT_PREOP_COMPLETE;
}
。。。。
return result;你以为这样就完事了?
然鹅每次dll被拦截都会提示这个
那么怎么去掉这个提示呢
你需要来自BattlEye的神秘力量,返回值给INSUFFICIENT RESOURCES才能没有错误提示
if(需要拦截DLL( ProcessId, Data->Iopb->TargetFileObject, pNameInfo)){
Data->IoStatus.Status = STATUS_INSUFFICIENT_RESOURCES;//←这样才能没有错误提示
result = FLT_PREOP_COMPLETE;
}
。。。。
return result;if(需要拦截DLL( ProcessId, Data->Iopb->TargetFileObject, pNameInfo)){
Data->IoStatus.Status = STATUS_INSUFFICIENT_RESOURCES;//←这样才能没有错误提示
result = FLT_PREOP_COMPLETE;
}
。。。。
return result;你以为这样就完事了?
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
今天的很有时间系列由hzqst主持,大家没意见吧
|
|
|
|
|
|
IsValidImage
|
|
|
|
|
|
|
|
|
然而MapView发生时的IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION并不是必要的,有一些高权重miniflt会直接完成这个Acquire,后面的filter全部收不到了,比如BE就会收不到。比如某至高权重的驱动( 某驱动435500 ,一个正规LDP系统里的)
BEDaisy.sys的权重是363220,甚至不如我的372100
最后于 2018-5-5 11:07
被cvcvxk编辑
,原因:
|
|
|
|
|
|
|
|
|
大表哥和老V是约好了吗?
|
|
|
|
|
|
STATUS_INSUFFICIENT_RESOURCES 就很魔性了 之前写minifilter的时候为了不提示 先返回挂起再在挂起回调里面阻止
|
|
|
|
|
|
|
|
|
拦截杀毒软件蓝屏
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
以前在Sfilter框架下做过类似的功能,就相当于: FsRtlRegisterFileSystemFilterCallbacks时,指定Callbacks->PreAcquireForSectionSynchronization, 这里就可以对nt!NtCreateSection作拦截。只是FltMgr.sys在DriverEntry里面就注册了这样的回调,相当于对MiniFilter作了封装。
我空了再仔细逆向FltMgr.sys然后和Sfilter作个对比!感谢前辈分享! 
|
|
|
|
|
|
|
|
|
|
