[求助]想用minifilter实现u盘的禁用或只读，该怎么着手？-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (63) ◀ 1 2 3
wumnkx 雪币： 137 活跃值： (1548) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 109 粉丝 6 关注私信	wumnkx 51 楼 wx_幼儿园的王问问楼主，UMDF winDDk有例子吗，是哪些例子，我也想做个简单的看看效果 https://code.msdn.microsoft.com/windowshardware/windows-driver-kit-wdk-80-e3161626 里面的Sample UMDF Filter Driver above UMDF Function Driver 2019-4-22 10:37 0
pccq 雪币： 75 活跃值： (718) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	pccq 52 楼 wumnkx 大锅，你说的umdf我自己也撸了一个，这玩意只能针对特定设备啊，不能控制所有便携设备，最后我还是用kmdf来搞了，只能搞禁用，只读都不能搞，文件名什么的都取不到。综合衡量了一下，我决定 ... 针对所有Android设备的都没问题 2019-4-26 09:48 0
pccq 雪币： 75 活跃值： (718) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	pccq 53 楼我用umdf过滤驱动来审计，所有拷贝到Android设备的操作，能够获取文件路径，拷贝的进程id，还能做到拦截。 2019-4-26 09:49 0
pccq 雪币： 75 活跃值： (718) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	pccq 54 楼还能读取文件内容 2019-4-26 09:58 0
wumnkx 雪币： 137 活跃值： (1548) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 109 粉丝 6 关注私信	wumnkx 55 楼 pccq 还能读取文件内容牛逼，我只会对着demo撸撸，连个inf都研究了好久，微软的文档根本看不懂，不知道写的啥，谷歌翻译不至于这么差吧？ 2019-4-27 01:36 0
saloyun 雪币： 436 活跃值： (2668) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 236 粉丝 2 关注私信	saloyun 56 楼其实我很想给你提示，但是作为前ipguard成员，我硬生生的忍住了。。。 2019-4-28 19:56 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 57 楼写个文件过滤驱动即可 2019-4-28 21:08 0
wumnkx 雪币： 137 活跃值： (1548) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 109 粉丝 6 关注私信	wumnkx 58 楼 saloyun 其实我很想给你提示，但是作为前ipguard成员，我硬生生的忍住了。。。忍着也好，我这边已经找到办法去搞了，就是注入一坨dll到所有进程， HOOK拷贝文件的普通API和COM的API，没什么高科技，老大说别人怎么做我们就怎么做，那就做呗 2019-6-2 18:48 0
DriverEntry 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	DriverEntry 59 楼 wumnkx 本来是打算在驱动层搞，网上资料太少，现在打算用组策略搞读写的权限限制，然后文件审计的还没找到方法。。。应用层的DeviceIoControl发送DISK_ATTRIBUTE_READ_ONLY、DISK_ATTRIBUTE_OFFLINE可以控制U盘读写 2021-4-29 17:59 0
DriverEntry 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	DriverEntry 60 楼 SYSTEM\\CurrentControlSet\\Enum\\USBSTOR\\Disk&Ven_Generic&Prod_Mass-Storage&Rev_1.11\\7&3582f777&0\\Device Parameters\\Partmgr 另外，注册表中的这个“Partmgr”可以控制读写和禁止插入（0无限制、1禁止插入、2只读） 2021-4-29 18:03 0
shuyangzjg 雪币： 7082 活跃值： (2978) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 215 粉丝 2 关注私信	shuyangzjg 61 楼我现在怎么本地磁盘文件操作 minifilter里有过滤到，优盘里的文件操作都没捕获到的啊 2021-6-17 23:51 0
shuyangzjg 雪币： 7082 活跃值： (2978) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 215 粉丝 2 关注私信	shuyangzjg 62 楼 shuyangzjg 我现在怎么本地磁盘文件操作 minifilter里有过滤到，优盘里的文件操作都没捕获到的啊有的，我眼瞎没看到尴尬 2021-6-18 00:25 0
xwh9315 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	xwh9315 63 楼 pccq 是的，umdf本质是一个com组件。实际上，wpd设备分2种，一种是u盘，另一种是mtp（多媒体传输协议）设备，用umdf filter做，可以解析出mtp的操作大佬，请问这个inf该怎么写啊，我按照ddk那个例子改完，用添加过时硬件安装，报错显示10，然后我加的filter在wpdmtpdr.dll得下面，跟你的位置反过来了 2024-4-12 19:05 0
xwh9315 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	xwh9315 64 楼 wumnkx 没实现，前面的pccq大佬说他用umdf filter实现了。你如果单纯想禁用就直接禁设备就好了，想高级点就写个NT驱动禁用wudfhost.exe启动就好。要精确控制文件读写就得用umd ... 大佬mtp找到办法了吗， 2024-4-12 19:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (63) ◀ 1 2 3
wumnkx 雪币： 137 活跃值： (1548) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 109 粉丝 6 关注私信	wumnkx 51 楼 wx_幼儿园的王问问楼主，UMDF winDDk有例子吗，是哪些例子，我也想做个简单的看看效果 https://code.msdn.microsoft.com/windowshardware/windows-driver-kit-wdk-80-e3161626 里面的Sample UMDF Filter Driver above UMDF Function Driver 2019-4-22 10:37 0
pccq 雪币： 75 活跃值： (718) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	pccq 52 楼 wumnkx 大锅，你说的umdf我自己也撸了一个，这玩意只能针对特定设备啊，不能控制所有便携设备，最后我还是用kmdf来搞了，只能搞禁用，只读都不能搞，文件名什么的都取不到。综合衡量了一下，我决定 ... 针对所有Android设备的都没问题 2019-4-26 09:48 0
pccq 雪币： 75 活跃值： (718) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	pccq 53 楼我用umdf过滤驱动来审计，所有拷贝到Android设备的操作，能够获取文件路径，拷贝的进程id，还能做到拦截。 2019-4-26 09:49 0
pccq 雪币： 75 活跃值： (718) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	pccq 54 楼还能读取文件内容 2019-4-26 09:58 0
wumnkx 雪币： 137 活跃值： (1548) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 109 粉丝 6 关注私信	wumnkx 55 楼 pccq 还能读取文件内容牛逼，我只会对着demo撸撸，连个inf都研究了好久，微软的文档根本看不懂，不知道写的啥，谷歌翻译不至于这么差吧？ 2019-4-27 01:36 0
saloyun 雪币： 436 活跃值： (2668) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 236 粉丝 2 关注私信	saloyun 56 楼其实我很想给你提示，但是作为前ipguard成员，我硬生生的忍住了。。。 2019-4-28 19:56 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 57 楼写个文件过滤驱动即可 2019-4-28 21:08 0
wumnkx 雪币： 137 活跃值： (1548) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 109 粉丝 6 关注私信	wumnkx 58 楼 saloyun 其实我很想给你提示，但是作为前ipguard成员，我硬生生的忍住了。。。忍着也好，我这边已经找到办法去搞了，就是注入一坨dll到所有进程， HOOK拷贝文件的普通API和COM的API，没什么高科技，老大说别人怎么做我们就怎么做，那就做呗 2019-6-2 18:48 0
DriverEntry 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	DriverEntry 59 楼 wumnkx 本来是打算在驱动层搞，网上资料太少，现在打算用组策略搞读写的权限限制，然后文件审计的还没找到方法。。。应用层的DeviceIoControl发送DISK_ATTRIBUTE_READ_ONLY、DISK_ATTRIBUTE_OFFLINE可以控制U盘读写 2021-4-29 17:59 0
DriverEntry 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	DriverEntry 60 楼 SYSTEM\\CurrentControlSet\\Enum\\USBSTOR\\Disk&Ven_Generic&Prod_Mass-Storage&Rev_1.11\\7&3582f777&0\\Device Parameters\\Partmgr 另外，注册表中的这个“Partmgr”可以控制读写和禁止插入（0无限制、1禁止插入、2只读） 2021-4-29 18:03 0
shuyangzjg 雪币： 7082 活跃值： (2978) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 215 粉丝 2 关注私信	shuyangzjg 61 楼我现在怎么本地磁盘文件操作 minifilter里有过滤到，优盘里的文件操作都没捕获到的啊 2021-6-17 23:51 0
shuyangzjg 雪币： 7082 活跃值： (2978) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 215 粉丝 2 关注私信	shuyangzjg 62 楼 shuyangzjg 我现在怎么本地磁盘文件操作 minifilter里有过滤到，优盘里的文件操作都没捕获到的啊有的，我眼瞎没看到尴尬 2021-6-18 00:25 0
xwh9315 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	xwh9315 63 楼 pccq 是的，umdf本质是一个com组件。实际上，wpd设备分2种，一种是u盘，另一种是mtp（多媒体传输协议）设备，用umdf filter做，可以解析出mtp的操作大佬，请问这个inf该怎么写啊，我按照ddk那个例子改完，用添加过时硬件安装，报错显示10，然后我加的filter在wpdmtpdr.dll得下面，跟你的位置反过来了 2024-4-12 19:05 0
xwh9315 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	xwh9315 64 楼 wumnkx 没实现，前面的pccq大佬说他用umdf filter实现了。你如果单纯想禁用就直接禁设备就好了，想高级点就写个NT驱动禁用wudfhost.exe启动就好。要精确控制文件读写就得用umd ... 大佬mtp找到办法了吗， 2024-4-12 19:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复