首页
社区
课程
招聘
[原创]分析X绒hrdevmon.sys,突破U盘访问控制,摄像头保护原理
发表于: 2021-3-19 23:33 9200

[原创]分析X绒hrdevmon.sys,突破U盘访问控制,摄像头保护原理

2021-3-19 23:33
9200

Q1815349357Q


  多年前,部分杀软就推出了U盘访问控制,摄像头保护的功能。

现在较火的端点防护概念,也强调自己设备权限控制的能力,但实现方法见智见仁。


  驱动级控制的原理是类过滤驱动,做内核开发的传统艺能了。

  比如:https://github.com/pwnslinger/USBlocker

  比如百度杀毒的BdCameraProtect.sys,笔者手里这份编译时间是:2013/10/30 (PE FILE_HEADER).


正好看到X绒的hrdevmon.sys,打开看一下。


在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class里搜索hrdevmon,能看到所有被过滤的类。

hrdevmon.sys Attach了如下两种DeviceType:

  - FILE_DEVICE_MASS_STORAGE

  - FILE_DEVICE_KS


对MASS_STORAGE设备的处理里,着重处理了:

  - MJ_FltMassStorageWrite

  - MJ_FltMassStorageDevCtl (IOCTL_SCSI_PASS_THROUGH & IOCTL_SCSI_PASS_THROUGH_DIRECT)

                             Cdb[0] (0xA or 0x2A or 0xAA)

   


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2021-3-19 23:47 被囧囧编辑 ,原因:
上传的附件:
收藏
免费 5
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//