炎刃主动防御系统

标 题: 【原创】炎刃主动防御系统

作 者: cn_kevin
时 间: 2010-12-21

blog : http://cn-kevin.iteye.com

 

    最近有时间研究了下驱动，就想写个简单的主动防御系统练练手,其实驱动程序跟其他程序一样，并不是非常复杂，而且相当来说还比较简单且容易理解，主要是微软不公开内核函数的文档，内核层异常就会出现华丽的蓝屏保护，造成了驱动编程难的假象。所以我们只能依靠网上一些组织反汇编并且公布出来的函数文档或自己动手反汇编，当然你要有足够的时间。

 

    本程序采用了SSDT系统服务描述表HOOK内核函数，其实就是改内核函数的指针。

ring3与ring0层也就是应用程序与驱动程序的通信是采用物理内存映射+事件同步+多线程处理的，目前只实现了进程监控，注册表监控，文件创建监控，内核驱动监控，剩下两个端口bind与connect本来也想实现的，后来发现他们是其他驱动程序的模块，得通过TDI写过滤驱动来实现，没文档，网上有个开源的防火墙就是用TDI技术，有时间下过来看看。运行时库忘记传上来了，杯具