-
-
[原创]分析X绒hrdevmon.sys,突破U盘访问控制,摄像头保护原理
-
发表于:
2021-3-19 23:33
9105
-
[原创]分析X绒hrdevmon.sys,突破U盘访问控制,摄像头保护原理
Q1815349357Q
多年前,部分杀软就推出了U盘访问控制,摄像头保护的功能。
现在较火的端点防护概念,也强调自己设备权限控制的能力,但实现方法见智见仁。
驱动级控制的原理是类过滤驱动,做内核开发的传统艺能了。
比如:https://github.com/pwnslinger/USBlocker
比如百度杀毒的BdCameraProtect.sys,笔者手里这份编译时间是:2013/10/30 (PE FILE_HEADER).
正好看到X绒的hrdevmon.sys,打开看一下。
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class里搜索hrdevmon,能看到所有被过滤的类。
hrdevmon.sys Attach了如下两种DeviceType:
- FILE_DEVICE_MASS_STORAGE
- FILE_DEVICE_KS
对MASS_STORAGE设备的处理里,着重处理了:
- MJ_FltMassStorageWrite
- MJ_FltMassStorageDevCtl (IOCTL_SCSI_PASS_THROUGH & IOCTL_SCSI_PASS_THROUGH_DIRECT)
Cdb[0] (0xA or 0x2A or 0xAA)
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2021-3-19 23:47
被囧囧编辑
,原因:
