[求助]想用minifilter实现u盘的禁用或只读，该怎么着手？-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (63) ◀ 1 2 3
wumnkx 雪币： 93 活跃值： (1483) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 97 粉丝 6 关注私信	wumnkx 2019-4-22 10:37 51 楼 0 wx_幼儿园的王问问楼主，UMDF winDDk有例子吗，是哪些例子，我也想做个简单的看看效果 https://code.msdn.microsoft.com/windowshardware/windows-driver-kit-wdk-80-e3161626 里面的Sample UMDF Filter Driver above UMDF Function Driver
pccq 雪币： 75 活跃值： (558) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 42 粉丝 0 关注私信	pccq 2019-4-26 09:48 52 楼 0 wumnkx 大锅，你说的umdf我自己也撸了一个，这玩意只能针对特定设备啊，不能控制所有便携设备，最后我还是用kmdf来搞了，只能搞禁用，只读都不能搞，文件名什么的都取不到。综合衡量了一下，我决定 ... 针对所有Android设备的都没问题
pccq 雪币： 75 活跃值： (558) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 42 粉丝 0 关注私信	pccq 2019-4-26 09:49 53 楼 0 我用umdf过滤驱动来审计，所有拷贝到Android设备的操作，能够获取文件路径，拷贝的进程id，还能做到拦截。
pccq 雪币： 75 活跃值： (558) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 42 粉丝 0 关注私信	pccq 2019-4-26 09:58 54 楼 0 还能读取文件内容
wumnkx 雪币： 93 活跃值： (1483) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 97 粉丝 6 关注私信	wumnkx 2019-4-27 01:36 55 楼 0 pccq 还能读取文件内容牛逼，我只会对着demo撸撸，连个inf都研究了好久，微软的文档根本看不懂，不知道写的啥，谷歌翻译不至于这么差吧？
saloyun 雪币： 149 活跃值： (2023) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 223 粉丝 0 关注私信	saloyun 2019-4-28 19:56 56 楼 0 其实我很想给你提示，但是作为前ipguard成员，我硬生生的忍住了。。。
luskyc 雪币： 248 活跃值： (3784) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 955 粉丝 10 关注私信	luskyc 2019-4-28 21:08 57 楼 0 写个文件过滤驱动即可
wumnkx 雪币： 93 活跃值： (1483) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 97 粉丝 6 关注私信	wumnkx 2019-6-2 18:48 58 楼 0 saloyun 其实我很想给你提示，但是作为前ipguard成员，我硬生生的忍住了。。。忍着也好，我这边已经找到办法去搞了，就是注入一坨dll到所有进程， HOOK拷贝文件的普通API和COM的API，没什么高科技，老大说别人怎么做我们就怎么做，那就做呗
DriverEntry 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	DriverEntry 2021-4-29 17:59 59 楼 0 wumnkx 本来是打算在驱动层搞，网上资料太少，现在打算用组策略搞读写的权限限制，然后文件审计的还没找到方法。。。应用层的DeviceIoControl发送DISK_ATTRIBUTE_READ_ONLY、DISK_ATTRIBUTE_OFFLINE可以控制U盘读写
DriverEntry 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	DriverEntry 2021-4-29 18:03 60 楼 0 SYSTEM\\CurrentControlSet\\Enum\\USBSTOR\\Disk&Ven_Generic&Prod_Mass-Storage&Rev_1.11\\7&3582f777&0\\Device Parameters\\Partmgr 另外，注册表中的这个“Partmgr”可以控制读写和禁止插入（0无限制、1禁止插入、2只读）
shuyangzjg 雪币： 6368 活跃值： (2254) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 205 粉丝 1 关注私信	shuyangzjg 2021-6-17 23:51 61 楼 0 我现在怎么本地磁盘文件操作 minifilter里有过滤到，优盘里的文件操作都没捕获到的啊
shuyangzjg 雪币： 6368 活跃值： (2254) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 205 粉丝 1 关注私信	shuyangzjg 2021-6-18 00:25 62 楼 0 shuyangzjg 我现在怎么本地磁盘文件操作 minifilter里有过滤到，优盘里的文件操作都没捕获到的啊有的，我眼瞎没看到尴尬
xwh9315 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	xwh9315 2024-4-12 19:05 63 楼 0 pccq 是的，umdf本质是一个com组件。实际上，wpd设备分2种，一种是u盘，另一种是mtp（多媒体传输协议）设备，用umdf filter做，可以解析出mtp的操作大佬，请问这个inf该怎么写啊，我按照ddk那个例子改完，用添加过时硬件安装，报错显示10，然后我加的filter在wpdmtpdr.dll得下面，跟你的位置反过来了
xwh9315 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	xwh9315 2024-4-12 19:07 64 楼 0 wumnkx 没实现，前面的pccq大佬说他用umdf filter实现了。你如果单纯想禁用就直接禁设备就好了，想高级点就写个NT驱动禁用wudfhost.exe启动就好。要精确控制文件读写就得用umd ... 大佬mtp找到办法了吗，
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (63) ◀ 1 2 3
wumnkx 雪币： 93 活跃值： (1483) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 97 粉丝 6 关注私信	wumnkx 2019-4-22 10:37 51 楼 0 wx_幼儿园的王问问楼主，UMDF winDDk有例子吗，是哪些例子，我也想做个简单的看看效果 https://code.msdn.microsoft.com/windowshardware/windows-driver-kit-wdk-80-e3161626 里面的Sample UMDF Filter Driver above UMDF Function Driver
pccq 雪币： 75 活跃值： (558) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 42 粉丝 0 关注私信	pccq 2019-4-26 09:48 52 楼 0 wumnkx 大锅，你说的umdf我自己也撸了一个，这玩意只能针对特定设备啊，不能控制所有便携设备，最后我还是用kmdf来搞了，只能搞禁用，只读都不能搞，文件名什么的都取不到。综合衡量了一下，我决定 ... 针对所有Android设备的都没问题
pccq 雪币： 75 活跃值： (558) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 42 粉丝 0 关注私信	pccq 2019-4-26 09:49 53 楼 0 我用umdf过滤驱动来审计，所有拷贝到Android设备的操作，能够获取文件路径，拷贝的进程id，还能做到拦截。
pccq 雪币： 75 活跃值： (558) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 42 粉丝 0 关注私信	pccq 2019-4-26 09:58 54 楼 0 还能读取文件内容
wumnkx 雪币： 93 活跃值： (1483) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 97 粉丝 6 关注私信	wumnkx 2019-4-27 01:36 55 楼 0 pccq 还能读取文件内容牛逼，我只会对着demo撸撸，连个inf都研究了好久，微软的文档根本看不懂，不知道写的啥，谷歌翻译不至于这么差吧？
saloyun 雪币： 149 活跃值： (2023) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 223 粉丝 0 关注私信	saloyun 2019-4-28 19:56 56 楼 0 其实我很想给你提示，但是作为前ipguard成员，我硬生生的忍住了。。。
luskyc 雪币： 248 活跃值： (3784) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 955 粉丝 10 关注私信	luskyc 2019-4-28 21:08 57 楼 0 写个文件过滤驱动即可
wumnkx 雪币： 93 活跃值： (1483) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 97 粉丝 6 关注私信	wumnkx 2019-6-2 18:48 58 楼 0 saloyun 其实我很想给你提示，但是作为前ipguard成员，我硬生生的忍住了。。。忍着也好，我这边已经找到办法去搞了，就是注入一坨dll到所有进程， HOOK拷贝文件的普通API和COM的API，没什么高科技，老大说别人怎么做我们就怎么做，那就做呗
DriverEntry 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	DriverEntry 2021-4-29 17:59 59 楼 0 wumnkx 本来是打算在驱动层搞，网上资料太少，现在打算用组策略搞读写的权限限制，然后文件审计的还没找到方法。。。应用层的DeviceIoControl发送DISK_ATTRIBUTE_READ_ONLY、DISK_ATTRIBUTE_OFFLINE可以控制U盘读写
DriverEntry 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	DriverEntry 2021-4-29 18:03 60 楼 0 SYSTEM\\CurrentControlSet\\Enum\\USBSTOR\\Disk&Ven_Generic&Prod_Mass-Storage&Rev_1.11\\7&3582f777&0\\Device Parameters\\Partmgr 另外，注册表中的这个“Partmgr”可以控制读写和禁止插入（0无限制、1禁止插入、2只读）
shuyangzjg 雪币： 6368 活跃值： (2254) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 205 粉丝 1 关注私信	shuyangzjg 2021-6-17 23:51 61 楼 0 我现在怎么本地磁盘文件操作 minifilter里有过滤到，优盘里的文件操作都没捕获到的啊
shuyangzjg 雪币： 6368 活跃值： (2254) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 205 粉丝 1 关注私信	shuyangzjg 2021-6-18 00:25 62 楼 0 shuyangzjg 我现在怎么本地磁盘文件操作 minifilter里有过滤到，优盘里的文件操作都没捕获到的啊有的，我眼瞎没看到尴尬
xwh9315 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	xwh9315 2024-4-12 19:05 63 楼 0 pccq 是的，umdf本质是一个com组件。实际上，wpd设备分2种，一种是u盘，另一种是mtp（多媒体传输协议）设备，用umdf filter做，可以解析出mtp的操作大佬，请问这个inf该怎么写啊，我按照ddk那个例子改完，用添加过时硬件安装，报错显示10，然后我加的filter在wpdmtpdr.dll得下面，跟你的位置反过来了
xwh9315 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	xwh9315 2024-4-12 19:07 64 楼 0 wumnkx 没实现，前面的pccq大佬说他用umdf filter实现了。你如果单纯想禁用就直接禁设备就好了，想高级点就写个NT驱动禁用wudfhost.exe启动就好。要精确控制文件读写就得用umd ... 大佬mtp找到办法了吗，
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复