-
-
[原创]分析X绒hrdevmon.sys,突破U盘访问控制,摄像头保护原理
-
发表于: 2021-3-19 23:33 9200
-
Q1815349357Q
多年前,部分杀软就推出了U盘访问控制,摄像头保护的功能。
现在较火的端点防护概念,也强调自己设备权限控制的能力,但实现方法见智见仁。
驱动级控制的原理是类过滤驱动,做内核开发的传统艺能了。
比如:https://github.com/pwnslinger/USBlocker
比如百度杀毒的BdCameraProtect.sys,笔者手里这份编译时间是:2013/10/30 (PE FILE_HEADER).
正好看到X绒的hrdevmon.sys,打开看一下。
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class里搜索hrdevmon,能看到所有被过滤的类。
hrdevmon.sys Attach了如下两种DeviceType:
- FILE_DEVICE_MASS_STORAGE
- FILE_DEVICE_KS
对MASS_STORAGE设备的处理里,着重处理了:
- MJ_FltMassStorageWrite
- MJ_FltMassStorageDevCtl (IOCTL_SCSI_PASS_THROUGH & IOCTL_SCSI_PASS_THROUGH_DIRECT)
Cdb[0] (0xA or 0x2A or 0xAA)
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
最后于 2021-3-19 23:47
被囧囧编辑
,原因:
赞赏记录
参与人
雪币
留言
时间
XIAOYAOSHIJI
为你点赞~
2023-7-24 09:12
hkx3upper
为你点赞~
2022-9-14 10:30
一笑人间万事
为你点赞~
2022-7-30 08:44
dzahz
为你点赞~
2021-4-23 19:49
xicao
为你点赞~
2021-3-21 01:02
赞赏
他的文章
- [原创]Arm thumb Cortex-M0 opcode 解析 3010
- IO完成端口原理 2354
- 代码角度看SSL握手过程 13489
- 给Internet Download Manager打补丁 5721
- [原创]分析X绒hrdevmon.sys,突破U盘访问控制,摄像头保护原理 9201
看原图
赞赏
雪币:
留言: