枚举系统的过滤驱动

最新推荐文章于 2022-04-29 09:16:13 发布
最新推荐文章于 2022-04-29 09:16:13 发布
阅读量1.5k 收藏
点赞数
分类专栏: 驱动/内核/HOOK/ROOKIT 文章标签: null buffer exception string attributes object
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/instruder/article/details/5724148
版权

/************************************************************************/
/*查找文件过滤系统
                                                                      */
/************************************************************************/
NTSTATUS FindDevice(UNICODE_STRING FileSys,UNICODE_STRING ObjectType,PFILTERSYS_INFO PFilterInfo,ULONG Count)
{
NTSTATUS Status;
UNICODE_STRING DriverName1,DriverName2;
PDRIVER_OBJECT DriverObject=NULL;
PDEVICE_OBJECT AttachObject=NULL;
WCHAR DriNa1[64]={L'/0'};
WCHAR DriNa2[64]={L'/0'};

PLDR_DATA_TABLE_ENTRY Ldr=NULL;
wcscpy(DriNa1,L"//Driver//");

wcscat(DriNa1,FileSys.Buffer);
RtlInitUnicodeString(&DriverName1,DriNa1);
/************************************************************************/
/*                                                                   */
/************************************************************************/
DbgPrint("%S/n",DriverName1.Buffer);
Status=ObReferenceObjectByName(&DriverName1,OBJ_CASE_INSENSITIVE,NULL,FILE_ALL_ACCESS,IoDriverObjectType,KernelMode,NULL,(PVOID *)&DriverObject);
if (NT_SUCCESS(Status))
{
 if (DriverObject==NULL)
 {
  return STATUS_UNSUCCESSFUL;
 }
 __try
 {


 AttachObject=DriverObject->DeviceObject->AttachedDevice;
 
  if (AttachObject==NULL)
  {
   return STATUS_UNSUCCESSFUL;
  }
  DbgPrint("要查找的设备是:%S,类型:%S,%.8X/n",FileSys.Buffer,ObjectType.Buffer,AttachObject);

 
  DbgPrint("ATTACHNAME :%S/n",AttachObject->DriverObject->DriverName.Buffer);
  
  for (ULONG i=0;i<Count;i++)
  {
   if (PFilterInfo[i].AttachDevice==0)
   {
    
    PFilterInfo[i].ObjectType=AttachObject->DeviceType;
    PFilterInfo[i].AttachDevice=(ULONG)AttachObject;
    
    RtlCopyMemory(PFilterInfo[i].SysName,AttachObject->DriverObject->DriverName.Buffer,AttachObject->DriverObject->DriverName.Length);
    RtlCopyMemory(PFilterInfo[i].HostSysName,DriverObject->DriverName.Buffer,DriverObject->DriverName.Length);
    Ldr=(PLDR_DATA_TABLE_ENTRY)(AttachObject->DriverObject->DriverSection);
    if (Ldr!=NULL && Ldr->FullDllName.Buffer!=NULL)
    {
     RtlCopyMemory(PFilterInfo[i].SysPath,Ldr->FullDllName.Buffer,Ldr->FullDllName.Length);
    }
    else
    {
     RtlCopyMemory(PFilterInfo[i].SysPath,AttachObject->DriverObject->DriverName.Buffer,AttachObject->DriverObject->DriverName.Length);
    }
    if (i==Count-1)
    {
     return STATUS_BUFFER_TOO_SMALL;
    }
    return STATUS_SUCCESS;
    
   }
   if (i==Count-1)
   {
    return STATUS_BUFFER_TOO_SMALL;
   }
  }
  
  
  
 } 
 __except(EXCEPTION_EXECUTE_HANDLER)
 {
  
 }
 return STATUS_SUCCESS;
 

 
}
else
{
 wcscpy(DriNa2,L"//FileSystem//");
 
 wcscat(DriNa2,FileSys.Buffer);
 RtlInitUnicodeString(&DriverName2,DriNa2);

 DbgPrint("%S/n",DriverName2.Buffer);
 Status=ObReferenceObjectByName(&DriverName2,OBJ_CASE_INSENSITIVE,NULL,FILE_ALL_ACCESS,IoDriverObjectType,KernelMode,NULL,(PVOID *)&DriverObject);
 if (NT_SUCCESS(Status))
 {
  if (DriverObject==NULL)
  {
   return STATUS_UNSUCCESSFUL;
  }
  __try
  {
  AttachObject=DriverObject->DeviceObject->AttachedDevice;
   if (AttachObject==NULL)
   {
    return STATUS_UNSUCCESSFUL;
   }
   DbgPrint("要查找的设备是:%S,类型:%S,%.8X/n",FileSys.Buffer,ObjectType.Buffer,AttachObject);
   DbgPrint("ATTACHNAME :%S/n",AttachObject->DriverObject->DriverName.Buffer);
   for (ULONG i=0;i<Count;i++)
   {
    if (PFilterInfo[i].AttachDevice==0)
    {
     
     PFilterInfo[i].ObjectType=AttachObject->DeviceType;
     PFilterInfo[i].AttachDevice=(ULONG)AttachObject;
     
     RtlCopyMemory(PFilterInfo[i].SysName,AttachObject->DriverObject->DriverName.Buffer,AttachObject->DriverObject->DriverName.Length);
     RtlCopyMemory(PFilterInfo[i].HostSysName,DriverObject->DriverName.Buffer,DriverObject->DriverName.Length);
     Ldr=(PLDR_DATA_TABLE_ENTRY)(AttachObject->DriverObject->DriverSection);
     if (Ldr!=NULL && Ldr->FullDllName.Buffer!=NULL)
     {
      RtlCopyMemory(PFilterInfo[i].SysPath,Ldr->FullDllName.Buffer,Ldr->FullDllName.Length);
     }
     else
     {
      RtlCopyMemory(PFilterInfo[i].SysPath,AttachObject->DriverObject->DriverName.Buffer,AttachObject->DriverObject->DriverName.Length);
     }
     if (i==Count-1)
     {
      return STATUS_BUFFER_TOO_SMALL;
     }
     return STATUS_SUCCESS;
     
    }
    if (i==Count-1)
    {
     return STATUS_BUFFER_TOO_SMALL;
    }
   }
   
  }
  __except(EXCEPTION_EXECUTE_HANDLER)
  {
       
  }
   
   
  return STATUS_SUCCESS;
  
   
 }
 else
 {
  return Status;
 }
 
}


return STATUS_UNSUCCESSFUL;

}

#pragma PAGEDCODE
NTSTATUS OpenFileSysDir(UNICODE_STRING DriPath,PFILTERSYS_INFO PFilterInfo,ULONG Count)
{
 
 OBJECT_ATTRIBUTES oa;
 NTSTATUS Status;
 HANDLE hDriver;
 ULONG Length=0x8000;
 ULONG                context,dwRet,count=0;
 PDIRECTORY_BASIC_INFORMATION pBuffer=NULL,pB2;
 //先打开FileSystem目录
 //RtlInitUnicodeString(&DriPath,L"//FileSystem");
 InitializeObjectAttributes(&oa,&DriPath,OBJ_CASE_INSENSITIVE,NULL,NULL);
 Status=ZwOpenDirectoryObject(&hDriver,DIRECTORY_QUERY,&oa);
 if (NT_SUCCESS(Status))
 {
next:
 pBuffer=(PDIRECTORY_BASIC_INFORMATION)ExAllocatePoolWithTag(PagedPool,Length,'so');
 
 if (pBuffer!=NULL)
 {
  Status=ZwQueryDirectoryObject(hDriver,pBuffer,Length,FALSE,TRUE,&context,&dwRet);
  if (NT_SUCCESS(Status))
  { 
   pB2=pBuffer;
   while (pB2->ObjectName.Length!=0&& pB2->ObjectTypeName.Length!=0)
   {
    DbgPrint("ObjectName: %S ObjectTypeName: %S ",pB2->ObjectName.Buffer,pB2->ObjectTypeName.Buffer);
   
    Status=FindDevice(pB2->ObjectName,pB2->ObjectTypeName,PFilterInfo, Count);
    if (Status==STATUS_BUFFER_TOO_SMALL)
    {
     return STATUS_BUFFER_TOO_SMALL;
    }
    pB2++;
    count++;
   }
   if (pBuffer)
   {
    ExFreePoolWithTag(pBuffer,'so');
   }
   if (hDriver)
   {
    ZwClose(hDriver);
   }
   // DbgPrint("count is %d/n",count);
   return STATUS_SUCCESS;
  }
  else if (Status==STATUS_BUFFER_TOO_SMALL||Status==STATUS_MORE_ENTRIES)
  {
   ExFreePoolWithTag(pBuffer,'so');
   Length*=2;
   goto next;
  }
  else{
   
   // DbgPrint("ZwQueryDirectoryObject failed/n");
   ExFreePoolWithTag(pBuffer,'so');
   if (hDriver)
   {
    ZwClose(hDriver);
   }
   return STATUS_UNSUCCESSFUL;
  }
 }
 else
 {
  if (hDriver)
  {
   ZwClose(hDriver);
  }
  return STATUS_UNSUCCESSFUL;
 }
 }
 else
 {
  DbgPrint("ZwOpenDirectoryObject failed,status %.8X/n",Status);
  return STATUS_UNSUCCESSFUL;
 }
 
 
}

 

 

下面是调用上面的

RtlInitUnicodeString(&DirPath1,L"//FileSystem");
    status=OpenFileSysDir(DirPath1,POUTfilterInfo,cout/sizeof(FILTERSYS_INFO));
    if (STATUS_BUFFER_TOO_SMALL==status)
    {
     DbgPrint("分配的内存太小/n");
     goto END;
    }
    RtlInitUnicodeString(&DirPath2,L"//Driver");
    status=OpenFileSysDir(DirPath2,POUTfilterInfo,cout/sizeof(FILTERSYS_INFO));
    if (STATUS_BUFFER_TOO_SMALL==status)
    {
     DbgPrint("分配的内存太小/n");
     goto END;
    }

 

POUTfilterInfo是分配的内存,用来存放枚举到的过滤驱动的一些信息

//检测到的过滤驱动的信息
typedef struct _FILTERSYS_INFO{
 ULONG ObjectType;
 WCHAR SysName[64];
 WCHAR SysPath[260];
 ULONG AttachDevice;
 WCHAR HostSysName[64];
 
}FILTERSYS_INFO,*PFILTERSYS_INFO;

 

 

代码写的比较乱,还有改进的地方,例如FindDevice这里面

 

Windows枚举驱动
墨痕诉清风的博客
09-25 340
driverquery /v
文件系统过滤驱动开发(一)—Win32底层开发小组
GaA.Ra的自留地 in Csdn
03-18 2370
    声明:本文无太多新意,只是介绍下学习经验,大神级人物(如总监大人)请略过,谢谢合作>_这本书,搭了个环境之后,其实也没碰很多,编了个经典的Hello,World!之后就无太多后续动作,暑假嘛,你们懂的,学习无压力.上学期断断续续算是把基础啃完了(其实也只是啃完-__-),就到了万恶的期末考试复习月.寒假开始着手过滤驱动这一块的学习,然后学期一开始就忙着这个SIG的项目.到现在的感觉就是,思路是有,但是有一些地方找不到切入点,光查资料就花很多时间.现在分享一下我的学习心得,不对之处,敬请指出.   
R3暴力枚举驱动
03-31
易语言ring3下暴力枚举驱动的例子。任何驱动都可枚举出来。
IoEnumerateDeviceObjectList 枚举驱动的所有设备 文件过滤驱动 windows内核开发
baund的专栏
12-10 3330
IoEnumerateDeviceObjectList函数,用来枚举驱动下的所有设备,主要是遍历deviceobject->nextobject字段,该函数第一次可以将DeviceObjectListSize传递0,来获取实际的设备个数,第二次调用,再获取整个设备列表,实现如下: 在文件过滤驱动中,常用该函数来枚举某文件系统下的所有设备,然后根据名字来区别是卷设备还是控制设备,空名字即
驱动枚举
dhbzzz的专栏
04-21 3266
//--------------------------------------------------------------------------// Copyright (C), 2004-2010, Zhengzongzhao, All Rights Reserved//// FileName: EnumDriver.cpp//// Author: z
通过暴搜DRIVER_OBJECT枚举驱动
cqyczj的专栏
04-24 1445
作 者: gjden 时 间: 2010-03-30,00:12:20 链 接: http://bbs.pediy.com/showthread.php?t=109819 通过暴搜DRIVER_OBJECT枚举驱动   技术可能有点老了,不过希望能够给和我一样的初学者一点参考。   先来捣鼓几句,几年前,在内核中战争的焦点总是检测与隐藏,通过内核的特权,我们能够肆
windows系统下usb过滤驱动实现
02-26
过滤驱动可以通过枚举设备树来识别并过滤特定的USB设备。 5. **IRP(I/O Request Packets)**:I/O请求包是Windows内核模式中用于传递I/O请求的数据结构。过滤驱动通过处理IRPs,可以在设备读写操作前进行拦截,...
window系统下usb过滤驱动
04-14
USB过滤驱动则位于这一层之上,它的主要任务是在设备驱动之前拦截USB设备的枚举过程,根据预设规则决定是否允许设备连接。 在Windows系统下,我们可以利用Windows Driver Kit (WDK)开发USB过滤驱动。WDK提供了丰富...
USB过滤驱动框架U盘读写控制,com串口过滤驱动框架拦截字符及文件传输 支持x86 x64 winxp-win10
03-26
USB过滤驱动框架是一种技术手段,用于对USB设备的读写操作进行监控和控制,特别是针对U盘等存储设备。在Windows操作系统中,这种框架能够帮助开发者实现对USB设备的精细管理,例如阻止非法U盘的接入,防止敏感数据...
基于Windows2000的过滤驱动程序设计
12-08
总线驱动程序负责设备的枚举和管理,功能驱动程序控制设备的主要功能,而过滤驱动程序则穿插在它们之间,实现功能的拓展和优化。 过滤驱动程序的作用在于它可以拦截、监控和修改IRP流,实现对原始驱动程序行为的...
实现Windows系统USB过滤驱动的关键步骤
在Windows系统中实现USB过滤驱动是一个相对高级的系统编程任务,涉及到对Windows驱动程序模型的理解,USB设备的识别与控制,以及驱动程序的安全性、稳定性的考虑。本知识点将深入探讨如何在Windows环境下开发USB过滤...
通过驱动名称枚举驱动下设备和挂载设备的信息
06-26
通过驱动名称枚举驱动下设备和挂载设备的信息
R3暴力枚举驱动 易语言源码
04-21
R3暴力枚举驱动 易语言源码 R3的权限,可以枚举全部的加载的驱动
枚举 & 表驱动
LIXI.FUN
08-22 210
枚举 & 表驱动】 初级版本 先看一段代码 /** * if/else 版本 */ public void trafficIfElseVersion(String trafficLight) { if ("红色".equals(trafficLight)) { System.out.println("现在是红灯,请停下"); } else if ("绿色".equals(trafficLight)) { System.out.println("现
windows 驱动实现进程枚举
全栈胖叔叔
05-08 1102
因为最近有需求写windows平台下的发外挂模块,需要实现对进程的监控,其中一个线程需要匹配进程名,那么问题来了,这就需要获取所有进程名称。 在用户层ring3下,枚举进程的方法主要有: 1.CreateToolhelp32Snapshot 通过快照枚举,x86和x64,winxp-win10 均可获取到进程名称。 2.通过 Psapi.dll,LoadLibrary(“PSAPI.DLL”),调用其EnumProcesses()枚举进程,x86和x64,winxp-win10 均可获取到进程名称,但是这个
枚举指定驱动对象和设备对象
weixin_42071117的博客
04-29 379
// driver.c #include <ntifs.h> #include <ntddk.h> extern POBJECT_TYPE* IoDriverObjectType; NTSTATUS ObReferenceObjectByName( __in PUNICODE_STRING ObjectName, __in ULONG Attributes, __in_opt PACCESS_STATE AccessState, __in_opt ACCESS_MASK
[内核编程]枚举内核空间所有驱动模块
輚至消亡
07-13 1525
1. 通过驱动对象枚举 第一种方法是通过驱动对象。驱动对象DRIVER_OBJECT中有一个字段叫DriverSection的指针。该指针实际上指向一个_LDR_DATA_TABLE_ENTRY结构 与内核态下枚举进程内的模块一样。驱动模块也是通过该结构中的3条双向循环链条以不同顺序分别串起来。 先根据windbg获取对应需要的结构体: typedef struct _PEB_LDR_DATA { ULONG Length; UCHAR Initialized[4]; PVOID..
win c++ 枚举设备驱动状态
d2262272d的博客
05-27 1989
#include   #include #pragma comment(lib,"Setupapi.lib") bool IsDeviceDisabled(DWORD dwDevID, HDEVINFO hDevInfo, DWORD &dwStatus) { SP_DEVINFO_DATA DevInfoData = {sizeof(SP_DEVINFO_DATA)};
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值