企业培训资讯_企业培训干货

当前位置:首页 > 名师团队 > 导师语录

Windows平台内核级文件访问-亚博App买球首选

发布时间:2021-02-10    来源:亚博App买球首选50926

本文摘要:Windows平台核心级文件访谈在windows服务平台下,应用软件一般来说用以API函数来进行文件访谈,开创,合上,载入文件。

亚博App买球首选

Windows平台核心级文件访谈在windows服务平台下,应用软件一般来说用以API函数来进行文件访谈,开创,合上,载入文件。从kernel32的CreateFile/ReadFile/WriteFile函数,到当地服务程序,再作到FileSystem以及FilterDriver,经历了许多 层级。在每一个层级上,都不会有着安全系数防潮手机软件,病原体或是侧门未作监管或是过滤装置的机遇。

做为安全系数商品开发人员,大家务必比他人回首得很远,因而大家务必一个最底层的“windows服务平台核心级文件访谈”的方式来确保大家必须看到精确的干净整洁的文件系统。1/7必需访谈FSD的核心等级文件访谈FSD(FileSystemDriver)层是文件API函数历经当地服务程序层(nativeAPI)最终到达的驱动层级。

如果我们能够效仿电脑操作系统,在我们自己的驱动程序流程里必需向FSD发送到IRP,就可以越过这些nativeAPI和win32API了,也就可以越过设定在这种层级上边的API勾子等监管对策。文件的Create和Open文件的Create和Open能够根据发送到IRP_MJ_CREATE给FSD,或是启用IoCreateFile函数来顺利完成。Create和Open的差别本质上取决于IoCreateFile/IRP_MJ_CREATE的一个主要参数Disposition的给出。

根据发送到IRP_MJ_CREATE给FSD的方式与此类似,能够参考IFSDDKdocument的IRP_MJ_CREATE表述。有别于上边方式的是务必自身开创一个FILE_OBJECT,好于上边方式的是这类方式不务必一个HANDLE,HANDLE是进程仰仗的,FileObject则是进程涉及。

2/7文件的Read和Write大家根据给FSD发送到IRP_MJ_READ来载入文件,给FSD发送到IRP_MJ_WRITE来调用文件。假如我们都是根据一个HANDLE来执行(如用以IoCreateFile合上的文件),就需要首先用ObReferenceObjectByHandle函数来获得这一Handle相匹配的FileObject。我们不能给FileObject发送到IRP。

亚博App买球首选

以后大家用以IoAllocateIrp分派一个IRP。依据FileObject-DeviceObject-Flags的值,大家鉴别总体目标文件系统用以哪些的IO方法。对每个各有不同的IO方法用以各有不同的详细地址传输方法。接着大家铺满IRP内的每个主要参数域,就可以发送到IRP了。

3/7然后要充分考虑假如IRP没法立即顺利完成,不容易多线程的返回的状况,大家改装一个CompletionRoutine,在CompletionRoutine里边设定一个恶性事件为已基因表达,通告大家的主线任务程载入或是加载作业者早就顺利完成。现在可以发送到IRP了。

如果不采行相近的对策得话,IRP发送到总体目标是FileObject相匹配的DeviceObject。发送到后,等待IRP的顺利完成而且出狱資源,返回。

文件的DeleteDelete本质上是根据向FSD发送到IRP_MJ_SET_INFORMATION的IRP,并把IrpSp-Parameters.SetFile.FileInformationClass设定为FileDispositionInformation,用一个FILE_DISPOSITION_INFORMATION构造铺满buffer来执行的。4/7文件的Rename类似Delete,Rename是向FSD发送到IRP_MJ_SET_INFORMATION的IRP,把IrpSp-Parameters.SetFile.FileInformationClass设定为FileRenameInformation,铺满buffer为FILE_RENAME_INFORMATION构造。综上所述,因此我们可以在驱动里边根据发送到IRP来必需访谈文件系统了,越过了nativeAPI和win32API层级。

越过文件系统过滤装置驱动和勾子拥有之上的內容,大家现阶段能够必需给FSD发送到督促作业者文件。可是这还过度,由于有很多的电脑杀毒软件或是监管专用工具用以FSDFilterDriver或是FSDHook的方法来监管文件作业者5/7应对文件系统过滤装置驱动文件系统过滤装置驱动Attach在长期的文件系统以上,监管和过滤装置大家的文件访谈。文件系统驱动栈便是由这一连串的Attach一起的过滤装置驱动组成。

亚博App买球首选

大家可以用IoGetRelatedDeviceObject这一函数来获得一个FileObject相匹配的底层的哪个作用驱动目标(FDO)。可是那样尽管越过了这些过滤装置驱动,却另外也越过了长期的FSD如Ntfs/Fastfat,由于长期的FSD也是做为一个过滤装置驱动不会有的。硬盘文件目标的相匹配的底层的FDO是Ftdisk.sys,它早就由于太过最底层而没法应急处置大家递送的IRP督促。只不过是长期的FSD信息内容储存在一个Vpb构造中,我们可以用以IoGetBaseFileSystemDeviceObject这一对外公布的核心函数来得到 它。

它便是大家发送到IRP的总体目标了。6/7应对拆换DispatchRoutine的FSDHook它是一种常见的FSDHook方法。大家务必得到 本来的DispatchRoutine,向本来的DispatchRoutine发送到大家的IRP。

这儿获得一个构思:我们可以载入本来FSD驱动的.INIT段或是.TEXT段,查看其DriverEntry函数,在它的DriverEntry函数中认可设定了自身的DriverObject的每个DispatchRoutine。在这个函数中大家就能找寻大家想的DispatchRoutine的详细地址。只务必用以特征码寻找的方式就可以寻找到这一值。

应对InlineHookDispatchRoutine函数自身的FSDHook这类Hook方式比较阴险毒辣,但并不是十分常见于安全系数商品中,一般运用于在木马病毒和rootkit上,例如自己写成的rootkit。它没变动DriverObject里边的DispatchRoutine的函数表针,只是向函数末尾加载编写命令的JMP来函数启用函数。

应对它的理论依据便是载入不会有硬盘上的FSD的文件,载入到运行内存一份干净整洁的备份数据,查询我们要启用的DispatchRoutine末尾的好多个字节数和这一干净整洁备份数据否完全一致。7/7如果不完全一致,特别是在是不会有JMP,RET,INT3一类的编写命令的情况下,很有可能便是不会有了InlineHook。(但要考虑到重精准定位的状况。)假如不会有InlineHook,大家就把干净整洁的函数末尾复制回来覆盖范围丢掉被病毒性感染的函数头。

随后在发送到IRP,便会被InlineHook监管或仿冒了。如何?看完了后你有什么样的好点子?对!便是用这类方式来提升病毒防护类手机软件,如今病毒防护早就是将来杀掉硬的一个发展趋向了,而要想提升病毒防护,必必须有牢靠的程序编写基本功,之后的免杀(指病毒防护)已不再是小白能够制做的了,因此 诸位了解想玩免杀掉得话,之后程序编写便是必不可缺了!。


本文关键词:亚博App买球,亚博App买球首选

本文来源:亚博App买球-www.fisioromi.com

分享到:
相关推荐MORE+
05-16 烤腰果的做法_烤腰果怎么做_寻梦一ZbDu的菜谱

本文摘要:1张图片“烤制腰果還是第一次,做为小零食還是趣味的。1张图片“烤制腰果還是第一次,做为小零食還是趣味的。” 食物清单主料腰果200克橄榄油1小匙辅材盐少量原汁原味口感油炸加工工艺廿分鐘用时比

05-16 快捷美食三菜一汤送你,让你下班到家很快吃上饭【亚博App买球】

本文摘要:白玉汤材料:豆腐250克,白菜叶5片,盐半勺,做法1.豆腐托3厘米左右,可用于方形小块。白玉汤材料:豆腐250克,白菜叶5片,盐半勺,做法1.豆腐托3厘米左右,可用于方形小块。白菜叶分离叶和

05-16 【亚博App买球】精选美食:葱爆羊肉片,麻辣豆皮,蒜烧牛肉粒,酸豆角炒鸡胗做法

本文摘要:洋葱爆羊肉片的制作方法:1.将羊肉片烧成8分钟,沥干水分2.将洋葱切成斜块,用洋葱、姜、蒜、青椒加入小块3.炒锅加热倒油,加入洋葱蒜炒香,加入青椒炒香,然后加入羊肉片炒香,加入细盐和孜然粉炒

05-16 暴力鸟狂奔50米单刀破门,门前这处理国足学不来-亚博App买球首选

本文摘要:5月17日的报道指出,正确的喂食饼协助塔利斯卡进入平均比率的终点,首次进行高速截击,单刀任意球瞄准球队的胜利,这个角色的保利尼奥可以说是恒大观众席反败为胜利的第一功臣。5月17日的报道指出,

亚博App买球-油烟机脏了不要傻傻拆下来洗,保洁阿姨都用这几招 默克尔态度软化 德国同性婚姻可望合法化
热门文章
郑州打响城区交通治理战违法信息将纳入个人征信系统_亚博App买球首选
大脚官网插件有哪些大脚系列辅助推荐:亚博App买球
亚博App买球-必玩!《战地5》吃鸡模式来了:免费更新
Win10.5正式版首波补丁惹祸:电脑变砖【亚博App买球】
亚博App买球首选-挂着U盘/SD卡的电脑:被新版Win10封杀了
亚博App买球|百度地图宣布新女神代言!语音导航太迷人
N卡驱动全新升级:必装!:亚博App买球
腾讯净利润暴涨61%:微信用户达10.4亿-亚博App买球
腾讯QQ:今年已封停13000多个QQ号_亚博App买球首选
亚博App买球首选_孤独求败的高境界:用它唱首歌就知道了
AMD CEO确认PS5核心硬件参数:性能怪兽:亚博App买球
巧用Natata打造心爱的电子书【亚博App买球】
iOS版手机QQ重磅更新:期待的功能来了:亚博App买球首选
亚博App买球_苦等18年!超经典端游新作终于来了:惊喜
Win10版本号追踪网站Buildfeed宣布关闭
客户案例
×