企业培训资讯_企业培训干货

当前位置:首页 > 名师团队 > 导师语录

Windows平台内核级文件访问-亚博App买球首选

发布时间:2021-02-10    来源:亚博App买球首选50926

本文摘要:Windows平台核心级文件访谈在windows服务平台下,应用软件一般来说用以API函数来进行文件访谈,开创,合上,载入文件。

亚博App买球首选

Windows平台核心级文件访谈在windows服务平台下,应用软件一般来说用以API函数来进行文件访谈,开创,合上,载入文件。从kernel32的CreateFile/ReadFile/WriteFile函数,到当地服务程序,再作到FileSystem以及FilterDriver,经历了许多 层级。在每一个层级上,都不会有着安全系数防潮手机软件,病原体或是侧门未作监管或是过滤装置的机遇。

做为安全系数商品开发人员,大家务必比他人回首得很远,因而大家务必一个最底层的“windows服务平台核心级文件访谈”的方式来确保大家必须看到精确的干净整洁的文件系统。1/7必需访谈FSD的核心等级文件访谈FSD(FileSystemDriver)层是文件API函数历经当地服务程序层(nativeAPI)最终到达的驱动层级。

如果我们能够效仿电脑操作系统,在我们自己的驱动程序流程里必需向FSD发送到IRP,就可以越过这些nativeAPI和win32API了,也就可以越过设定在这种层级上边的API勾子等监管对策。文件的Create和Open文件的Create和Open能够根据发送到IRP_MJ_CREATE给FSD,或是启用IoCreateFile函数来顺利完成。Create和Open的差别本质上取决于IoCreateFile/IRP_MJ_CREATE的一个主要参数Disposition的给出。

根据发送到IRP_MJ_CREATE给FSD的方式与此类似,能够参考IFSDDKdocument的IRP_MJ_CREATE表述。有别于上边方式的是务必自身开创一个FILE_OBJECT,好于上边方式的是这类方式不务必一个HANDLE,HANDLE是进程仰仗的,FileObject则是进程涉及。

2/7文件的Read和Write大家根据给FSD发送到IRP_MJ_READ来载入文件,给FSD发送到IRP_MJ_WRITE来调用文件。假如我们都是根据一个HANDLE来执行(如用以IoCreateFile合上的文件),就需要首先用ObReferenceObjectByHandle函数来获得这一Handle相匹配的FileObject。我们不能给FileObject发送到IRP。

亚博App买球首选

以后大家用以IoAllocateIrp分派一个IRP。依据FileObject-DeviceObject-Flags的值,大家鉴别总体目标文件系统用以哪些的IO方法。对每个各有不同的IO方法用以各有不同的详细地址传输方法。接着大家铺满IRP内的每个主要参数域,就可以发送到IRP了。

3/7然后要充分考虑假如IRP没法立即顺利完成,不容易多线程的返回的状况,大家改装一个CompletionRoutine,在CompletionRoutine里边设定一个恶性事件为已基因表达,通告大家的主线任务程载入或是加载作业者早就顺利完成。现在可以发送到IRP了。

如果不采行相近的对策得话,IRP发送到总体目标是FileObject相匹配的DeviceObject。发送到后,等待IRP的顺利完成而且出狱資源,返回。

文件的DeleteDelete本质上是根据向FSD发送到IRP_MJ_SET_INFORMATION的IRP,并把IrpSp-Parameters.SetFile.FileInformationClass设定为FileDispositionInformation,用一个FILE_DISPOSITION_INFORMATION构造铺满buffer来执行的。4/7文件的Rename类似Delete,Rename是向FSD发送到IRP_MJ_SET_INFORMATION的IRP,把IrpSp-Parameters.SetFile.FileInformationClass设定为FileRenameInformation,铺满buffer为FILE_RENAME_INFORMATION构造。综上所述,因此我们可以在驱动里边根据发送到IRP来必需访谈文件系统了,越过了nativeAPI和win32API层级。

越过文件系统过滤装置驱动和勾子拥有之上的內容,大家现阶段能够必需给FSD发送到督促作业者文件。可是这还过度,由于有很多的电脑杀毒软件或是监管专用工具用以FSDFilterDriver或是FSDHook的方法来监管文件作业者5/7应对文件系统过滤装置驱动文件系统过滤装置驱动Attach在长期的文件系统以上,监管和过滤装置大家的文件访谈。文件系统驱动栈便是由这一连串的Attach一起的过滤装置驱动组成。

亚博App买球首选

大家可以用IoGetRelatedDeviceObject这一函数来获得一个FileObject相匹配的底层的哪个作用驱动目标(FDO)。可是那样尽管越过了这些过滤装置驱动,却另外也越过了长期的FSD如Ntfs/Fastfat,由于长期的FSD也是做为一个过滤装置驱动不会有的。硬盘文件目标的相匹配的底层的FDO是Ftdisk.sys,它早就由于太过最底层而没法应急处置大家递送的IRP督促。只不过是长期的FSD信息内容储存在一个Vpb构造中,我们可以用以IoGetBaseFileSystemDeviceObject这一对外公布的核心函数来得到 它。

它便是大家发送到IRP的总体目标了。6/7应对拆换DispatchRoutine的FSDHook它是一种常见的FSDHook方法。大家务必得到 本来的DispatchRoutine,向本来的DispatchRoutine发送到大家的IRP。

这儿获得一个构思:我们可以载入本来FSD驱动的.INIT段或是.TEXT段,查看其DriverEntry函数,在它的DriverEntry函数中认可设定了自身的DriverObject的每个DispatchRoutine。在这个函数中大家就能找寻大家想的DispatchRoutine的详细地址。只务必用以特征码寻找的方式就可以寻找到这一值。

应对InlineHookDispatchRoutine函数自身的FSDHook这类Hook方式比较阴险毒辣,但并不是十分常见于安全系数商品中,一般运用于在木马病毒和rootkit上,例如自己写成的rootkit。它没变动DriverObject里边的DispatchRoutine的函数表针,只是向函数末尾加载编写命令的JMP来函数启用函数。

应对它的理论依据便是载入不会有硬盘上的FSD的文件,载入到运行内存一份干净整洁的备份数据,查询我们要启用的DispatchRoutine末尾的好多个字节数和这一干净整洁备份数据否完全一致。7/7如果不完全一致,特别是在是不会有JMP,RET,INT3一类的编写命令的情况下,很有可能便是不会有了InlineHook。(但要考虑到重精准定位的状况。)假如不会有InlineHook,大家就把干净整洁的函数末尾复制回来覆盖范围丢掉被病毒性感染的函数头。

随后在发送到IRP,便会被InlineHook监管或仿冒了。如何?看完了后你有什么样的好点子?对!便是用这类方式来提升病毒防护类手机软件,如今病毒防护早就是将来杀掉硬的一个发展趋向了,而要想提升病毒防护,必必须有牢靠的程序编写基本功,之后的免杀(指病毒防护)已不再是小白能够制做的了,因此 诸位了解想玩免杀掉得话,之后程序编写便是必不可缺了!。


本文关键词:亚博App买球,亚博App买球首选

本文来源:亚博App买球-www.fisioromi.com

分享到:
相关推荐MORE+
03-01 精选美食:千张红烧肉,四川泡菜,飘香鸡片,土豆烧鸡的做法:亚博App买球

本文摘要:春耕、夏耕、秋收、冬藏,天人合一的东方哲学使中国饮食依赖内敛,智慧浑厚,中医营养摄生学说构筑了食材运用的新天地,儒家人伦道德把心和家的味道放在我们的餐桌上。春耕、夏耕、秋收、冬藏,天人合一的

03-01 亚博App买球首选-精选美食推荐:豆芽香干,粉丝拌菠菜,拌松花蛋的做法

本文摘要:粉絲拌菠菜用材:西兰花900克,粉絲1小把,红尖椒一个半,甜杏仁12个,香油少量,香油少量,食用油适当,食用盐4克做法:1、西兰花托去根处,消除干净整洁,切条;粉絲用凉小水泡硬;火烤一大锅水

03-01 【亚博App买球】美食优选:蛤蜊拌黄瓜,豆豉藕丝,醉排骨的做法

本文摘要:题目:特色美食代替性:海蛎子拌黄瓜,豆豉藕丝,饮排骨的作法欧州有奶油面包,日本国有寿司店黑鱼子酱,日本有泡菜年糕,我国满汉全席……不管全球板图怎样变化,权势天娇怎样开天辟地,每一个平平常常的

03-01 京媒:新国足将以恒大国安上港球员为主 已开始选人:亚博App买球

本文摘要:据《北京青年报》新闻记者肖赧报导,里皮本次重回国脚,将重新组建以广州恒大、国安和上港足球运动员为主要架构的主力阵容,而6月份国脚友谊赛的涉及到后勤管理早就执行。据《北京青年报》新闻记者肖赧报

亚博App买球首选_瑞祥装饰:家庭装修吧台设计布局原则 【亚博App买球首选】《暖暖日记》原创动画今秋上映 海獭交上外星朋友
热门文章
全面战争:三国汉各等级守备军配置
亚博App买球:美首款避孕APP上市:因为它37人意外怀孕
N卡全家桶专杀工具下载:电脑清爽了【亚博App买球首选】
传暴雪开发星际FPS:亚博App买球首选
它成PS平台23年历史成功游戏!索粉必玩【亚博App买球】
AMD年度鸡血驱动劲爆!26大惊喜:亚博App买球首选
【亚博App买球首选】无语!Win10今后要强制划走你7GB硬盘空间
【亚博App买球首选】整合国产UOS操作系统 诚迈净利润大涨10倍
360安全卫士右键菜单管理的使用方法【亚博App买球】
亚博App买球首选-QQ音乐怎么上传视频
亚博App买球-手心输入法怎样自定义工具栏
微信iOS新版隐藏了黑科技彩蛋 发现了吗?_亚博App买球
Windows平台内核级文件访问-亚博App买球首选
亚博App买球-Win10正式版发布多个补丁更新
亚博App买球首选:《王者荣耀》新英雄:开天辟地的神来了
客户案例
×