关于监控文件系统上的IRP序列

最新推荐文章于 2024-05-08 09:49:23 发布
原创 最新推荐文章于 2024-05-08 09:49:23 发布 · 3.8k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#null #框架 #windows #object #string #生物

本文介绍如何在Windows内核中利用Minifilter框架监控文件系统的IRP序列,以用于生物免疫学原理的恶意代码检测系统。通过申请共享内存、MDL和事件同步,实现ring0到ring3的数据传递。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近在写一个基于生物免疫学原理的恶意代码检测系统,其中需要应用程序在Windows内核中产生的IRP序列。本文总结一下怎么获得文件系统上的IRP序列。希望对需要ring0主动向ring3频繁通信的朋友有点帮助


基本框架是Minifilter。向minifilter注册回调函数来监控走过文件系统设备上的IRP。

Minifilter框架详见微软WDK文档:http://msdn.microsoft.com/en-us/library/ff540402.aspx


接下来就是如何拿到IRP序列并传输到ring3层:

首先得申请一块ring0和ring3的共享内存

1. ExAllocatePool申请一块非分页内存

2. IoAllocateMdl得到内存块的描述符列表MDL

3. MmBuildMdlForNonPagedPool将2中得到的MDL更新成物理页的描述符

通过向minifilter发送消息(FilterSendMessage),或者通过DeviceIoControl,来获得ring0中申请的内存的ring3地址

1. 在处理ring3消息的函数中通过MmMapLockedPages将物理页映射到当前进程地址空间,拿到虚拟地址

2. 将得到的当前进程地址空间地址通过输出缓冲区传回ring3


接下来就可以通过向那段共享内存写入数据,并用事件(Event)来通知ring3接收数据。这时候注意得让ring3在读取完毕后通过一个事件或者别的同步手段通知内核继续IRP捕获。

能这么做的原因是minifilter似乎已经完成了IRP请求的序列化,通过测试发现,针对单个进程捕获到的IRP是串行的。所以可以KeWaitForSingleObject来等待用户完成而不会导致序列数据的丢失。

最低0.47元/天 解锁文章

200万优质内容无限畅学
跟踪,检测IRP的优秀工具IRPTrace
08-07
跟踪,检测IRP的优秀工具IRPTrace
FileDisk 线程方式进行IRP序列
Tech is Online(物联网技术传播)
09-18 1614
刚看完FileDisk代码,感受颇多,其中采用线程的方式进行IRP序列化更是让人觉得新鲜.在DDK中一般采用StartIo来进行IRP序列话,其中在入口函数中加入pDriverObject->DriverStartUp = XXXStartIO即可, 当然也没这么简单,其中还要做写处理.
内核文件管理-IRP(一)创建或打开文件
m0_48995611的博客
01-09 1157
内核下通过直接向 FSD (File System Driver) 发送 IRP (I/O Request Packet)来管理文件,可以绕过一些 API Hook。 本文讲怎样通过向 FSD 发送 IRP_MJ_CREATE 消息的 IRP 来创建或打开文件(或目录)。 头文件及其他声明或定义 #include <ntifs.h> typedef struct _AUX_ACCESS_DATA { PPRIVILEGE_SET PrivilegesUsed; GENERIC_MAPPIN
探秘Windows系统请求监控利器 - IRPMon
最新发布
gitblog_00056的博客
05-08 475
探秘Windows系统请求监控利器 - IRPMon 项目地址:https://gitcode.com/gh_mirrors/ir/IRPMon IRPMon是一个强大的工具,用于监视选定设备对象或内核驱动程序接收到的请求。这个工具与IrpTracker类似,但提供了一些增强功能,比如对64位Windows操作系统的支持,并且能够跟踪IRP、FastIo、AddDevice、DriverUnloa...
强制删除文件——直接发IRP文件系统
勿在浮沙筑高台
03-16 1330
     学习资料:http://www.antiprotect.com/forum_posts.asp?TID=95     上面这个连接中的DEMO是比较完整软件,这里我把其中发IRP强制删除文件的部分抽出来了,学习了下,顺便加点注释。这个程序比较简单,主要练习了两个点:(1)模拟发送IRP(2)使用内核事件对象同步IRP的执行     强制删除文件的思路很简单,把SECTION_OB
Windows NT 文件系统内核详解
书中详细剖析了I/O子系统的数据结构,如IRP(I/O请求包)以及系统启动序列,这有助于理解I/O操作如何从用户层传递到硬件层。 5. **NT Virtual Memory Manager**:这部分内容详细介绍了虚拟内存管理器的功能,包括...
Linux系统监控:性能监控与故障诊断,保障系统安全运行
为了确保系统的稳定性和安全性,进行有效的系统监控就显得尤为重要。 ## 1.1 监控的重要性与目的 监控是IT运维管理中的核心环节,它可以实时跟踪系统运行状态,预防故障的发生,并在问题发生时快
3GPP CORBA Alarm IRP 协议原文
09-28
3GPP CORBA Alarm IRP协议是通信行业中用于网络管理系统(OMC)与网络元素间交互告警信息的标准规范。这个协议基于通用对象请求代理架构(CORBA),它是一种分布式计算模型,允许不同系统间的软件组件相互通信,就像...
IRPTRACE(软件+注册机)
04-20
IRPTrace是驱动开发是必须的调试工具之一。可监控发往Windows的I/O请求包。里面包含软件和注册机,希望大家喜欢。
irp trace v2.0 破解版
08-10
irp trace v2.0 破解版,支持winxp,2003,vista,7,8,10 x86,x64等版本,非常好用,不敢独享。
基于微过滤器Minifilter的MiniSpy源码文件过滤驱动
10-30
基于文件过滤驱动中minifilter过滤驱动框架开发,可以记录文件所有的操作,保存创建、重命名等,监控所有的I/O操作,包括驱动程序和用户端应用程序源码,对文件系统过滤有很大参考价值。
IrpTrace && keygen
07-03
查看IRP软件 IrpTrace && keygen
irptrace 最新破解版
04-14
irptrace 最新破解版,带注册机,希望对你有帮助。
IRP跟踪工具irpTrace补丁
05-08
IRP 跟踪工具 irpTrace 补丁 好
File System Minifilter Drivers(文件系统微型过滤驱动)入门
aguchu2119的博客
12-25 913
问题: 公司之前有一套文件过滤驱动,但是在实施过程中经常出现问题,现在交由我维护。于是在边看代码的过程中,一边查看官方资料,进行整理。 这套文件过滤驱动的目的只要是根据应用层下发的策略来控制对某些特定文件的控制,例如根据后缀名来决定是否允许查看,是否允许查看指定目录啊之类的功能。 介绍: MSDN上对可安装的文件系统驱动介绍http://msdn.microso...
Minifilter 优点介绍
Lassewang的成长历程
07-23 1670
提起Minifilter大家可能都已经非常熟悉了,它是Microsoft极力推荐的一种新型 过滤器模型,不过谈及Minifilter模型我们就不得不提逻辑过滤器模型 (Legacy Filter),逻辑过滤器模型是一种比较古老的模型,它经历过从FileMon 到Sfilter的漫长历程,直到今天它仍然在发挥着它的巨大作用,从两者的对比上来看, 我根据个人的经验总结出了以下特点: -Min
Windows驱动开发WDM (5)- DeviceIoControl(直接方式交互"输出buffer")
热门推荐
zj510的专栏
11-23 1万+
除了ReadFile和WriteFile外,还有一个函数可以让用户模式程序访问内核模式驱动:DeviceIoControl。这是经常用的一个API, 原型如下: BOOL WINAPI DeviceIoControl( _In_ HANDLE hDevice,//已经打开的设备 _In_ DWORD dwIoControlCode,控制码 _In_op
wdk minifilter 自带示例的简要说明
jykj_007的专栏
03-26 6443
   最近要用wdk 7 的minifilter做一个文件过滤的东西,苦于没有资料可用,明明知道 winDDK/src/filesys/minifilter的范例很有用,但就是无从下手,google了半天(SB google.cn刚换马夹变成了google.hk,速度叫个慢哟),最终还是抱上了msdn的大腿, 居然在MSDN library> win32 and com development >
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值