SSDT替换ZwSetInformationFile实现保护某文件不被删除

最新推荐文章于 2023-11-21 18:25:57 发布
转载 最新推荐文章于 2023-11-21 18:25:57 发布 · 1.9k 阅读 · 0
文章标签:

#object #hook #string #class #file #include

本文详细介绍了如何通过修改ZwSetInformationFile函数的实现,实现对特定文件(如\test.txt位于C盘)的访问控制。在Windows内核模式下,利用KeServiceDescriptorTable和OriZwSetInformationFile,作者通过钩子技术改变了原有函数的行为,增加了额外的安全检查逻辑。当尝试访问指定文件时,函数将返回STATUS_ACCESS_DENIED错误,阻止了非法访问。
#include <ntddk.h>
 
typedef struct _SDT
{
  PULONG ServiceTableBase;
  PULONG ServiceCounterTableBase;
  ULONG NumberOfService;
  PUCHAR ParamTableBase;
}SDT, *PSDT;
 
typedef
NTSTATUS
(__stdcall *ZWSETINFORMATIONFILE)(IN HANDLE FileHandle,
                  OUT PIO_STATUS_BLOCK IoStatusBlock,
                  IN PVOID FileInformation,
                  IN ULONG Length,
                  IN FILE_INFORMATION_CLASS FileInformationClass);
 
extern "C" PSDT KeServiceDescriptorTable;  //ntoskrnl.exe导出的
PULONG pFuncSDT;  //原函数地址在SSDT中的位置
ZWSETINFORMATIONFILE OriZwSetInformationFile;  //原函数地址
 
VOID DriverUnload(IN PDRIVER_OBJECT pDriverObject);
VOID Hook();
VOID UnHook();
NTSTATUS MyZwSetInformationFile(IN HANDLE FileHandle,
                OUT PIO_STATUS_BLOCK IoStatusBlock,
                IN PVOID FileInformation,
                IN ULONG Length,
                IN FILE_INFORMATION_CLASS FileInformationClass);
 
extern "C" NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject,
                IN PUNICODE_STRING pRegPath)
{
  pDriverObject->DriverUnload = DriverUnload;
  Hook();
  return STATUS_SUCCESS;
}
 
VOID DriverUnload(IN PDRIVER_OBJECT pDriverObject)
{
  UnHook();
}
 
VOID Hook()
{
  UNICODE_STRING strFuncName;
  RtlInitUnicodeString(&strFuncName, L"ZwSetInformationFile");
  pFuncSDT = KeServiceDescriptorTable->ServiceTableBase +
    *PULONG((PUCHAR)MmGetSystemRoutineAddress(&strFuncName) + 1);
  OriZwSetInformationFile = ZWSETINFORMATIONFILE(*pFuncSDT);
  DbgPrint("OriZwSetInformationFile:%x\r\n", OriZwSetInformationFile);
  __asm
  {
    cli
    mov eax,cr0
    and eax,not 10000h  //清除cr0的WP位
    mov cr0,eax
  }
  *pFuncSDT = (ULONG)MyZwSetInformationFile;
  DbgPrint("---Hook---\r\n");
  __asm
  {
    mov eax,cr0
    or eax,10000h  //恢复cr0的WP位
    mov cr0,eax
    sti
  }
}
 
VOID UnHook()
{
  __asm
  {
    cli
    mov eax,cr0
    and eax,not 10000h
    mov cr0,eax
  }
  *pFuncSDT = (ULONG)OriZwSetInformationFile;
  DbgPrint("---UnHook---\r\n");
  __asm
  {
    mov eax,cr0
    or eax,10000h
    mov cr0,eax
    sti
  }
}
 
NTSTATUS MyZwSetInformationFile(IN HANDLE FileHandle,
                OUT PIO_STATUS_BLOCK IoStatusBlock,
                IN PVOID FileInformation,
                IN ULONG Length,
                IN FILE_INFORMATION_CLASS FileInformationClass)
{
  PFILE_OBJECT pFileObject;
  NTSTATUS ret = ObReferenceObjectByHandle(FileHandle, GENERIC_READ,
    *IoFileObjectType, KernelMode, (PVOID*)&pFileObject, 0);
  if (NT_SUCCESS(ret))
  {
    UNICODE_STRING uDosName;
    ret = IoVolumeDeviceToDosName(pFileObject->DeviceObject, &uDosName);  //XP and later
    if (NT_SUCCESS(ret))
    {
      if (!_wcsicmp(pFileObject->FileName.Buffer, L"\\test.txt") &&
        !_wcsicmp(uDosName.Buffer, L"C:"))       
      {
        ExFreePool(uDosName.Buffer);
        return STATUS_ACCESS_DENIED;
      }
      ExFreePool(uDosName.Buffer);
    }
  }
  return OriZwSetInformationFile(FileHandle, IoStatusBlock, FileInformation,
    Length, FileInformationClass);
}
Window内核函数 - 获取或修改文件属性
wendyWJGU的博客
05-23 811
Window内核函数 - 获取或修改文件属性
hook pte_简单HOOK SSDT实现文件删除
weixin_42121058的博客
02-23 609
被玩烂了的SSDT,索性就让它更烂吧,没啥技术含量,只是想增进下和驱动的感情,慢慢跟上那帮人的步伐。关于SSDT的描述,推荐看下堕落天才的文章:http://bbs.pediy.com/showthread.php?t=40832。OD跟踪DeleteFile API的执行流程,会大致看到这样的调用:DeleteFileA -> DeleteFileW -> ntdll.ZwSetIn...
8.2 Windows驱动开发:内核解锁与强删文件
LYSHARK
11-21 5679
在某些时候我们的系统中会出现一些无法被正常删除文件,如果想要强制删除则需要在驱动层面对其进行解锁后才可删掉,而所谓的解锁其实就是释放掉文件描述符(句柄表)占用,文件解锁的核心原理是通过调用`ObSetHandleAttributes`函数将特定句柄设置为可关闭状态,然后在调用`ZwClose`将其文件关闭,强制删除则是通过`ObReferenceObjectByHandle`在对象上提供相应的权限后直接调用`ZwDeleteFile`将其删除
文件操作
kernweak的博客
05-24 444
文件的表示 应用层:”c:\\hi.txt” 内核:L”\\??\\c:\\hi.txt”//??实际上是个符号链接,连接的是卷设备名称->\\device\\harddiskvolume3\\hi.txt R3: 设备名:L”\\\\.\\xxxDrv” R0 设备名:”\\device\\xxxDrv” 符号连接名:”\\dosdevices\\xxxDrv”或\\??\\xxxDrv...
简单HOOK SSDT实现文件删除
weixin_33913377的博客
08-17 205
http://www.rosoo.net/a/201001/8347.html 转载于:https://www.cnblogs.com/vcerror/p/4289223.html
内核级驱动对抗Hook ZwSetInformationFile删除技术
Floating Guy
04-13 2847
网络安全中的文件删除保护一直都是大家谈论的焦点问题,针对如何保护磁盘上属于自己的专有文件,已经存在一些现成技术,比如信息隐藏技术。笔者详细的谈论过有关基于有序规则的信息隐藏与加密技术,利用一些常见图片、视频等作为载体将文件嵌入其中,达到掩人耳目的目的。这种方式如果在图像的鲁棒性、文件规则的健壮性、加密算法的有效性上能够很好的满足,是可以很好的实现文件保护的。下面论述的是文件在没有隐藏的情况下,
磁盘文件操作_ZwCreateFile_ZwOpenFile_ZwReadFile_ZwWriteFile_ZwSetInformationFile_ZwQueryInformationFile
01-27 3257
#include"ntddk.h" VOID xiezai1(PDRIVER_OBJECT qudongduixiang) { KdPrint(("驱动卸载 历程\n")); return; } NTSTATUS DriverEntry(PDRIVER_OBJECT qudongduixiang, PUNICODE_STRING zhucebiao1) { HANDLE wenjianju
(转)深入理解文件操作函数native api之ZwQueryInformationFile 获取File ID
gylll的专栏
03-03 3758
http://hi.baidu.com/liushijianlu/blog/item/b104c810a08f8b28dc5401fb.html>深入理解文件操作函数native api之ZwQueryInformationFile看这个函数的名字和参数就能够知道他是干嘛用的了,但是他的作用远止这些,这需要一些技巧和深入的理解才能有了新的思路。现在仅仅是明白了函数
ssdt_hook.rar_SSDT 进程保护_ssdt_ssdt hook_进程保护
09-22
SSDT Hook技术是一种内核级别的技术,常被用于系统监控、安全防护以及恶意软件中,以实现对系统服务调用的拦截和控制。 SSDT Hook的基本原理是替换SSDT中的原始服务函数指针,用自定义的函数来代替。当用户模式的...
SSDTHook实现进程保护
06-29
在"SSDTHook实现进程保护"这个主题中,我们主要关注的是如何利用SSDT hook保护特定的进程被恶意修改或攻击。通常,这需要编写内核驱动程序,因为SSDT是内核级别的组件。首先,我们需要了解如何编写和加载内核...
精选资源
Hook ssdt.rar_HookSSDT_hook_ssdt_进程保护_驱动保护
09-25
Hook SSDT允许开发者在系统服务调用之前或之后插入自定义代码,以实现特定的功能,如监控系统行为、提升权限或者进行进程保护和驱动保护。 **什么是SSDT?** System Service Dispatch Table(系统服务调度表)是...
易语言使用APIhook进行拦截文件读写
09-02
易语言使用APIhook进行拦截文件读写,拦截文件读写,使用apihook
基于SSDTHook的进程保护实现技术解析
SSDTHook实现进程保护是一种基于Windows操作系统内核层的技术手段,主要用于防止特定进程被非法终止或篡改。该技术的核心原理是通过修改系统服务描述符表(System Service Descriptor Table,简称SSDT)中的函数指针...
[Win驱动4]Windows内核态字符串操作
輚至消亡
10-11 951
1. 内核的字符串操作
HOOK来修改API函数的功能(3)-禁止删除文件
weixin_33947521的博客
06-28 281
今天我写一写如何使用HOOK的方法来保护一些特定的文件删除。在"未文档化函数中"有个函数叫做ZwSetInformationFile。这个函数对应的WIN32的函数有"SetFileAttributes、SetEndOfFile、SetFilePointer、SetFileTime、DeleteFile"。也就是说,以上的函数均是和这个ZwSetInformationFile函数有关。如果我们...
内核模式下的文件操作_zwcreatefile_zwopenfile_zwreadfile_zwwritefile
05-05 2549
1.文件的创建 对文件的创建或者打开都是通过内核函数ZwCreateFile实现的。和Windows API类似,这个内核函数返回一个文件句柄,文件的所有操作都是依靠这个句柄进行操作的。在文件操作完毕后,要关闭这个文件句柄。 NTSTATUS     ZwCreateFile(     OUT PHANDLE  FileHandle,     IN ACCESS_MASK  DesiredAc...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值