首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
5
[原创]分析X绒hrdevmon.sys,突破U盘访问控制,摄像头保护原理
发表于: 2021-3-19 23:33 9626

[原创]分析X绒hrdevmon.sys,突破U盘访问控制,摄像头保护原理

囧囧 活跃值
2021-3-19 23:33
9626

Q1815349357Q


  多年前,部分杀软就推出了U盘访问控制,摄像头保护的功能。

现在较火的端点防护概念,也强调自己设备权限控制的能力,但实现方法见智见仁。


  驱动级控制的原理是类过滤驱动,做内核开发的传统艺能了。

  比如:https://github.com/pwnslinger/USBlocker

  比如百度杀毒的BdCameraProtect.sys,笔者手里这份编译时间是:2013/10/30 (PE FILE_HEADER).


正好看到X绒的hrdevmon.sys,打开看一下。


在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class里搜索hrdevmon,能看到所有被过滤的类。

hrdevmon.sys Attach了如下两种DeviceType:

  - FILE_DEVICE_MASS_STORAGE

  - FILE_DEVICE_KS


对MASS_STORAGE设备的处理里,着重处理了:

  - MJ_FltMassStorageWrite

  - MJ_FltMassStorageDevCtl (IOCTL_SCSI_PASS_THROUGH & IOCTL_SCSI_PASS_THROUGH_DIRECT)

                             Cdb[0] (0xA or 0x2A or 0xAA)

   


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2021-3-19 23:47 被囧囧编辑 ,原因:
上传的附件:
收藏
免费 5
支持
分享
赞赏记录
参与人
雪币
留言
时间
XIAOYAOSHIJI
为你点赞~
2023-7-24 09:12
hkx3upper
为你点赞~
2022-9-14 10:30
PLEBFE
为你点赞~
2022-7-30 08:44
dzahz
为你点赞~
2021-4-23 19:49
xicao
为你点赞~
2021-3-21 01:02
最新回复 (0)
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回

账号登录
验证码登录

忘记密码?
没有账号?立即免费注册
我已同意 《看雪服务条款》 《看雪课程免责声明》 《看雪隐私政策》