2594
社区成员
- 全部
SYS驱动程序我 HOOK 了 ZwCreateFile 函数,如何拒绝文件的创建?
SYS驱动程序我 HOOK 了 ZwCreateFile 函数,如何拒绝文件的创建?
我 HOOK 了 ZwCreateFile 函数,已经通过 ObjectAttributes->ObjectName->Buffer 检查出我要保护的目录。我不想让其他程序在这里目录里创建文件,该如何设置返回值。
我的设置是:
就这样都不行,文件还是可以被创建出来,请教,该如何设置返回值,能让系统提示,无法创建文件。谢谢!
我 HOOK 了 ZwCreateFile 函数,已经通过 ObjectAttributes->ObjectName->Buffer 检查出我要保护的目录。我不想让其他程序在这里目录里创建文件,该如何设置返回值。
我的设置是:
if ( ObjectAttributes->ObjectName->Buffer && wcsstr( ObjectAttributes->ObjectName->Buffer, L"111.txt" ) )
{
// 拒绝操作
FileHandle = NULL;
IoStatusBlock->Information = 0;
IoStatusBlock->Status = STATUS_UNSUCCESSFUL;
return STATUS_UNSUCCESSFUL;
}
就这样都不行,文件还是可以被创建出来,请教,该如何设置返回值,能让系统提示,无法创建文件。谢谢!
...全文
当前发帖距今超过3年,不再开放新的回复
发表回复
powerlinm 2009-04-26
驱动程HOOK会不会被杀毒软件kill掉啊?
meiZiNick 2008-04-30
都是很好的建议! 值得学习
muroachanf 2008-04-27
你最好确定一下ZwCreateFile没被系统多次调用
Irp->IoStatus.Status = STATUS_ACCESS_DENIED;
Irp->IoStatus.Information = 0;
IoCompleteRequest( Irp, IO_NO_INCREMENT );
return STATUS_ACCESS_DENIED;
Irp->IoStatus.Status = STATUS_ACCESS_DENIED;
Irp->IoStatus.Information = 0;
IoCompleteRequest( Irp, IO_NO_INCREMENT );
return STATUS_ACCESS_DENIED;
xingworld 2008-04-25
up
xingworld 2008-04-24
没有的,我单步调试走到里面了,我看到函数直接 return 的。
返回是返回了,可是文件还是被创建了。
返回是返回了,可是文件还是被创建了。
wangk 2008-04-22
1. wcsstr 是大小写敏感的。 这一段有点问题。
2. ApiHookFsGetFilenameByHandle 本身没什么问题,我说的是调用它的时候FileHandle参数是无效,导致判断逻辑没有进行。
于是就调用了g_pfnOrgZwCreateFile,文件就创建了。
你为什么不直接ObjectName判断呢?
if ( ObjectAttributes->ObjectName->Buffer && wcsstr( ObjectAttributes->ObjectName->Buffer, L"111.txt" ) )
{
// ¾Ü¾ø²Ù×÷
FileHandle = NULL;
IoStatusBlock->Information = 0;
IoStatusBlock->Status = STATUS_UNSUCCESSFUL;
return STATUS_UNSUCCESSFUL;
}
2. ApiHookFsGetFilenameByHandle 本身没什么问题,我说的是调用它的时候FileHandle参数是无效,导致判断逻辑没有进行。
于是就调用了g_pfnOrgZwCreateFile,文件就创建了。
你为什么不直接ObjectName判断呢?
xingworld 2008-04-22
我刚学习驱动程序编程,也是到处找的资料弄的,不知道有没有问题,函数代码如下:
/**
* 根据文件句柄获取文件 DOS 全路径
*/
BOOL ApiHookFsGetFilenameByHandle( IN HANDLE hFileHandle, OUT PCHAR pszFilename, IN USHORT uSize )
{
if ( NULL == hFileHandle )
{
return FALSE;
}
BOOL bRet = FALSE;
NTSTATUS ntStatus;
PWCHAR pBuffer;
PFILE_OBJECT pstFileObject;
POBJECT_NAME_INFORMATION pstObjectNameInfo;
ntStatus = ObReferenceObjectByHandle( hFileHandle, FILE_READ_DATA, *IoFileObjectType, KernelMode, (void **)&pstFileObject, NULL );
if ( NT_SUCCESS( ntStatus ) )
{
ntStatus = IoQueryFileDosDeviceName( pstFileObject, &pstObjectNameInfo );
if ( NT_SUCCESS( ntStatus ) )
{
ntStatus = drvfunc_w2a( pstObjectNameInfo->Name.Buffer, pszFilename, uSize );
if ( NT_SUCCESS( ntStatus ) )
{
bRet = TRUE;
}
}
}
return bRet;
}
wangk 2008-04-21
[Quote=引用 3 楼 xingworld 的回复:]
[/Quote]
我很奇怪ApiHookFsGetFilenameByHandle使用的FileHandle这个时候是无效的吧?你怎么弄出它的文件名?
CHAR szFileName[ MAX_PATH ];
if ( FILE_WRITE_DATA == ( FILE_WRITE_DATA & DesiredAccess ) ||
FILE_APPEND_DATA == ( FILE_APPEND_DATA & DesiredAccess ) )
{
RtlZeroMemory( szFileName, sizeof(szFileName) );
if ( ApiHookFsGetFilenameByHandle( FileHandle, szFileName, sizeof(szFileName) ) )
{
if ( APIHOOKFS_ACTION_DENIED == ApiHookFsCheckAction( szFileName ) )
{
// ¾Ü¾ø²Ù×÷
return STATUS_ACCESS_DENIED;
}
}
}
[/Quote]
我很奇怪ApiHookFsGetFilenameByHandle使用的FileHandle这个时候是无效的吧?你怎么弄出它的文件名?
会思考的草 2008-04-21
用IFS filter不行吗?非得hook system services?
xingworld 2008-04-17
我是用 WinDbg + VMWare 调试的,绝对执行到那个位置了,这个我能保证。
cnzdgs 2008-04-17
你是用什么方法测试?调试的时候执行到return了吗?
xingworld 2008-04-17
非常感谢 cnzdgs
感谢你一直给我回帖解决问题,这个问题希望能得到你的帮助,我实在搞不定了,返回什么值,文件都是可以被创建。
感谢你一直给我回帖解决问题,这个问题希望能得到你的帮助,我实在搞不定了,返回什么值,文件都是可以被创建。
cnzdgs 2008-04-17
先提一下,wcsstr函数是不安全的,驱动程序中的字符串是不要求\0结尾的。
比较文件名时要注意OBJ_CASE_INSENSITIVE。
FileHandle = NULL要改成*FileHandle = NULL。
STATUS最好用STATUS_ACCESS_DENIED。
比较文件名时要注意OBJ_CASE_INSENSITIVE。
FileHandle = NULL要改成*FileHandle = NULL。
STATUS最好用STATUS_ACCESS_DENIED。
xingworld 2008-04-17
楼上的朋友你好,非常感谢你的回答。
可能是我没有描述清楚。
那个代码就是测试代码,所以不需要判断 ObjectAttributes->RootDirectory
我想要的效果是,当用户创建任何包含 111.txt 这样的文件名的时候就提示,拒绝访问,无法创建文件。
不知道该如何实现呢?
我看到一些资料里面提到 IoCompleteRequest( Irp, IO_NO_INCREMENT );
可是我这里没有 Irp,我哪里能获取到当前的 Irp 指针呢?
谢谢!
可能是我没有描述清楚。
那个代码就是测试代码,所以不需要判断 ObjectAttributes->RootDirectory
我想要的效果是,当用户创建任何包含 111.txt 这样的文件名的时候就提示,拒绝访问,无法创建文件。
不知道该如何实现呢?
我看到一些资料里面提到 IoCompleteRequest( Irp, IO_NO_INCREMENT );
可是我这里没有 Irp,我哪里能获取到当前的 Irp 指针呢?
谢谢!
rjabcd 2008-04-17
那是我随便说的,实际原因和DISPATCH_LEVEL没有关系。
真实的原因是你少了一个判断
你只判断了ObjectAttributes->ObjectName
没有判断ObjectAttributes->RootDirectory
但是实际上不能直接判断ObjectAttributes->RootDriectory
中间缺少一个过程
我觉得这样解释太麻烦,又看到你前面加了一个KernelMode的判断,所以就说了ZwCreateFile不能在DISPATCH_LEVEL下执行.实际上不是这样!!!!!
真实的原因是你少了一个判断
你只判断了ObjectAttributes->ObjectName
没有判断ObjectAttributes->RootDirectory
但是实际上不能直接判断ObjectAttributes->RootDriectory
中间缺少一个过程
我觉得这样解释太麻烦,又看到你前面加了一个KernelMode的判断,所以就说了ZwCreateFile不能在DISPATCH_LEVEL下执行.实际上不是这样!!!!!
xingworld 2008-04-17
DISPATCH_LEVEL 是啥?
rjabcd 2008-04-17
1.查是否在DISPATCH_LEVEL
2.根本的解决方法是不要hook ZwCreateFile函数.
因为ZwCreateFile的实现很复杂。
正确的方法是使用文件过滤驱动或者hook FSD.
2.根本的解决方法是不要hook ZwCreateFile函数.
因为ZwCreateFile的实现很复杂。
正确的方法是使用文件过滤驱动或者hook FSD.
xingworld 2008-04-16
肯定被执行了,我都调试到了,这个能保证的
zhoujianhei 2008-04-16
首先,你要确认你的ZwCreateFile函数确实被执行了。
xingworld 2008-04-16
多谢楼上的 zhoujianhei 的回答,
return STATUS_INVALID_PARAMETER;
但是不行。文件依然可以被创建。
return STATUS_INVALID_PARAMETER;
但是不行。文件依然可以被创建。
加载更多回复
Windows内核驱动Hook入门 还需附加GUI进程获取进程 PEPROCESS获取函数地址替换被Hook的函数 的函数实现获取函数原型如果被Hook的函数是一个高频函数,如何准确定位到是自己的程序调用分析不同情况下的返回值类型,调用的 R3 API 如何进行处理...
Windows内核编程 文件监控(ssdt hook) 说到SSDT HOOK,可以从MEP技术说起,MEP(即执行路径修改)主旨就是拦截系统函数或相关处理例程,让它们转向我们自己的函数进行处理,这样就能实现过滤参数或者修改目标函数处理结果的目的。而SSDT(即 系统服务描述...
8种HOOK技术 IAT是程序中存储导入函数地址的数据结构,如果HOOK了导入函数地址。就可以在函数调用的时候,将函数流程HOOK到我们指定的流程。但是我个人觉得这种方式最好要结合DLL注入的方式,如果单纯的使用HOOK,那么就需要将...
用HOOK来修改API函数的功能(4)-环境搭建(转) 用HOOK来修改API函数的功能(4)-环境搭建 2007-07-05 22:01:04 标签:驱动 HOOK WDM [(){dfanologin();return false;}" href="http://writeblog.csdn.net/#">推送到技术圈]
用HOOK来修改API函数的功能(4)-环境搭建 上面的3篇文章已经大概的讲述了HOOK API的编写方法,可是如何让它们真正的运行...这里我要说的是如何在代码中将我上面的3篇文章中讲到的功能串在一起,以及编写WDM驱动程序所需要的Sources文件。 我的Sources文件是...
文件系统fsd hook (一)原理 我们电脑上的文件系统ntfs.sys,他有个设备\FileSystem\Ntfs,这个设备是用IoCreateDevice创建,跟我们写驱动的时候一样,那么我们可以通过这个设备,来对ntfs做一些操作,跟ntfs驱动进行一些通信。我们来看IDA分析...
17.系统调用(SSDT_HOOK) 2.通过导出表获取HOOK函数系统服务号. 3.利用导出KeServiceDescriptorTable结构定位系统服务表实现替换函数(类似IAT_HOOK). 代码如下: #include <ntifs.h> #include <ntimage.h> #include <...
SYS驱动中如何获得 PIRP Irp 指针? 我做了个 ZwCreateFile 的 API HOOK, 我想调用 IoCompleteRequest( Irp, IO_NO_INCREMENT ); 却发现 NewZwCreateFile 函数的参数里没有 PIRP Irp 指针。 我该如何获取呢? 谢谢 代码如下: /** * New process ...
简析利用调试寄存器实现内核函数的HOOK
某些RK,木马会经常HOOK一些关键函数从而达到隐藏等目的,而相应的ARK检测软件也会通常会先恢复这些关键函数的HOOK(譬如利用硬盘文件恢复),然后再调用来检测RK,这样就可以检测出某些隐藏.下面就介绍利用调试器...
一个驱动木马的分析 【文章标题】: 一个驱动木马的分析【文章作者】: prince【作者邮箱】: cracker_prince@163.com【作者QQ号】: 812937【软件名称】: Trojan program Trojan-Downloader.Win32.Agent.bbb(卡巴命名)【下载地址】: ...
Windows系统调用架构分析—也谈KiFastCallEntry函数地址的获取 + 一个hook的实现 为什么要写这篇文章 1. 因为最近在学习《软件调试》这本书,看到书中的某个调试...2. 碰巧前天又在网上看到了一篇老文章介绍xxx安全卫士对Windows系统调用的Hook,主要就是Hook到这个函数 3. 刚刚做完毕业设计,对
简析利用调试器寄存器实现内核函数的HOOK 简析利用调试寄存器实现内核函数的HOOK创建时间:2007-09-23文章转自:www.xfocus.net文章提交:yykingking (yykingking_at_126.com)某些RK,木马会经常HOOK一些关键函数从而达到隐藏等目的,而相应的ARK检测软件也会...
piaoxue/feixue驱动程序分析 首先是由于这个驱动是注册为在Boot Bus Extender组里的,所以在操作系统加载时,该驱动就会被加载这时会执行DriverReinitializationRoutine这个例程:; *************** S U B R O U T I N E ***********************...
32位windows的全局hook 该方法是利用驱动构建调用门和中断门,然后利用调用门修改页相关dll的页属性,再利用中断门来hook相关的函数。当然也有更简单的方法,此方法是利用调用门和中断门的使用,当然64位下是行不通的,会触发pg。64需要...
《Windows驱动开发技术详解》学习笔记 如果推荐 Windows 驱动开发的入门书,我强烈推荐《Windows驱动开发技术详解》。但是由于成书的时间较早,该书中提到的很多工具和环境都已不可用或找不到,而本文搜集了大部分的工具,并在 win10X64 上安装开发...
卡巴驱动程序载入分析随记 卡巴驱动程序载入分析随记 by Sucsor/RCT 忘记是什么原因了,去年曾经跟踪过AVP的驱动程序,发现kl1.sys的驱动程序中多出了几个设备对象,但是代码中又没有找到创建设备对象相应的代码.后来发现在是在别的驱动里创建的...
X64驱动开发和保护+X86X64游戏逆向分析课程 我要的是质量不是数量。老师备课,设计课件需要时间的。 学习周期:PC端3个月时间(具体根据同学们的进度) 主要内容和方向:C/C++从基础知识讲起;汇编基础和逆向;开发逆向内存FZ库框架编写;MFC界面和中控界面;...
keyboard hook http://blog.csdn.net/van_ni/archive/2006/03/11/622112.aspx function StorePage(){d=document;t=d.selection?(d.selection.type!=None?d.selection.createRange().text:):(d.getSelection?d.getSelection
C语言及程序设计初步 课程针对没有任何程序设计基础的初学者,全面介绍C语言及利用C语言进行程序设计的方法。课程注重知识的传授,更关注学习者能够通过实践的方式,真正学会利用C语言解决问题,奠定程序设计的基础。为此,专门设计了实践方案,指导学习者在听讲的同时,有效完成实践。讲课中还适时穿插进行学习指导,帮助初学者尽快掌握程序设计的学习方法。 课程主要针对无任何编程经历的初学者,利用主讲者多年来教授大一学生的教学经验,准确把握知识点掌握中的难点,在和视频配套的实践方案配合下,帮助初学者顺利掌握知识,获得学习中的自信。
敏捷软件开发-原则、模式与实践.pdf 本书讲授了一些原则、模式以及实践,它们可以帮助软件开发人员在追求美的程序、设计以及团队的道路上迈出第一步。本书探索了基本的设计原则,软件设计结构的通用模式以及有利于团队融为一个有机整体的一系列实践。本书包含了许多代码,仔细研读这些代码是学习本书所教授的原则、模式及时间的最有效方法
juniper路由器学习资料 从网络搜集的关于juniper的资源,包含
fru-mx960-acoustic.pdf
fru-mx960-cable-manager.pdf
JNCIA_学习指南中文.pdf
Juniper_EX交换机中文操作手册V1.0.pdf
Juniper_MX_路由器介绍.pdf
Juniper_MX960配置模板v1.2.docx
Juniper_netscreen.ppt
Juniper路由器(M10i)配置手册.pdf
Juniper路由器命令行配置手册.pdf
Juniper路由器实验手册.pdf
junos-cli.pdf
junos-release-notes-13.3.pdf
mx960-hwguide.pdf
mx960-install-quick-start.pdf
MX960操作维护介绍.pdf
MX960路由器操作手册.pdf
mx-series-line-card-guide.pdf
中国象棋人工智能论文集 这是本人收集的有关中国象棋人工智能的论文集
2009计算机博弈专辑文章.pdf
Computer Games Are an Efficient Tool for Event Game Theory.pdf
MINORS HASH TABLE IN COMPUTER CHINESE CHESS.pdf
中国象棋机器博弈的时间自适应分配策略研究.pdf
中国象棋计算机博弈中搜索算法的研究与改进.pdf
中国象棋计算机博弈关键技术分析.pdf
人工神经元网络结合TD(λ)算法在中国象棋机器博弈中的应用.pdf
博弈论的里程碑成果与局限性分析.pdf
基于剪枝策略的中国象棋搜索引擎研究.pdf
基于机器博弈的作战模拟系统探讨.pdf
大师级象棋机器人研究与开发.pdf
机器博弈研究面临的各种挑战.pdf
棋牌游戏与事件对策.pdf
积极开展民间棋类的计算机博弈活动.pdf
解剖大象的眼睛-中国象棋开发.pdf
计算机博弈原理与方法学概述.pdf
