自己的HIPS开发记录

最新推荐文章于 2024-05-27 10:23:48 发布
原创 最新推荐文章于 2024-05-27 10:23:48 发布 · 546 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

记录下自己开发出现的bug以及原因,完成后提醒自己,不要再这么2

1.FltSendMessage的inputbuffer传错大小,本来应该穿自己分装的结构体大小,结果写错成了想传的结构体指针大小,所以造成蓝屏。提示bad_pool_header

2.在下发规则时候,IsPatternMatch(const PWCHAR pExpression, const PWCHAR pName, BOOLEAN IgnoreCase)进行模式匹配,最后一个参数写成了TRUE,但是没有把自己传进来的路径变成大写,造成一直匹配错误。

3.动态安装驱动移植的别人多字节项目代码自己宽字节,计算长度忘记了乘sizeof(WCHAR)。

4.使用wcscmp,返回值位0是相等,结果写逻辑想成1是相等。

5.处理规则时,先测试在把规则保存到txt里,关于换行的/r/n等处理错误,fgets会把读出的/r/n改成/n,我还开始按照有/r进行判断,出现了bug,最后是写了函数清除了/n。

6.进程监控的时候记得在linker里commandline设置/INTEGRITYCHECK,不然回调加载会失败。

7.拖拽文件管理员模式失效,要修改,可以搜索网上参考

8.关于实现删除文件功能,调用Zwcreatefile发现一直有问题,报错c40000043,最后google发现共享文件参数ShareAccess要设置成FILE_SHARE_VALID_FLAGS,指定“共享所有”的正确方法是FILE_SHARE_VALID_FLAGS,而不是0 

 

HIPS实现
zhuhuibeishadiao
04-10 1923
HIPS思路: R0将检测到的攻击行为放到一个链表中(如果没有可用IRP) 应用层发送读请求就到这个链表中取 如果有可用IRP就直接将这次行为给这个IRP(这时R3一定已经在等待了 看后面就会懂) 代码: //设置事件相关的数据,发送给R3,比如进程ID,名字,路径,以及具体操作(创建,修改,删除)等等 //当然,这里,我们只是简单的捕捉了进程的ID或者名字等 ulPtr =
Minifilter过滤,功能实现对驱动目录的监控,包括创建,重命名,删除并实现hips
zhuhuibeishadiao
05-02 1万+
注意下:我的这套过滤只能用在nt6系统上 原因是使用一个nt6上才有的函数 见函数 PsGetProcessFullName 其实没必要自己来写获取全路径 因为minifilter已经给我们提供了获取全路径的函数 FltGetFileNameInformation 我就不改了,哈哈 说说遇到的问题吧 在监控创建的时候,我在卸载post中的,我拒绝后,在弹窗,2-3
hips算法实现
jia_zhengshen的专栏
01-13 1030
未完待续。。。。。。。 仿射变换参考文章: http://blog.youkuaiyun.com/xiaowei_cqu/article/details/7616044   (理论) http://blog.youkuaiyun.com/watkinsong/article/details/10212715  (应用);
minifilter 向应用层发送信息fltSendMessage
未来
11-01 3114
驱动层发送和接受时候的buf不包含header。应用层向minifilter发送没什么问题。应用层接收的时候需要添加header。
FltSendMessage 超时时间相关问题
最新发布
weixin_42915431的博客
05-27 825
之前做基于minifilter的windows文件过滤驱动时,会碰到fltsendmessage超时问题,查阅资料后特此记录下。
WDM项目中使用minifilter
Sven的忘却日记
11-13 504
直接导入fltkernel.h,并使用minifilter中的函数,编译时会提示找不到符号等错误。 需要在项目链接器->输入文件中增加fltmgr.lib 即可编译,并使用filter相关内核函数
禹盾HIPS(附源码)
04-07
禹盾HIPS是一款由国内开发的安全防护软件,其主要功能在于主机入侵防御系统(Host Intrusion Prevention System,简称HIPS)。HIPS是一种先进的安全技术,它通过深入操作系统内核,对系统活动进行实时监控,从而阻止...
CA_HIPS_v1.6中文版无缺陷稳定安装
- CA_HIPS_v1.6是CA Technologies开发的一个安全解决方案,针对的是一系列针对主机的威胁。 - 该系统能够监控对系统关键区域的访问尝试,并将这些访问与预定义的安全规则相比较。 - 当检测到与安全规则不匹配的...
掌握Handshake握手生态系统:HIPs提案指南
尽管HIPs不是共识机制,也不是法律约束,它们可能永远不会在生产环境中被实施,但它们提供了一种机制,使得社区成员可以系统地提出、讨论和记录潜在的改进措施。 HIPs文档结构遵循一定的标准格式,确保提案的质量和...
【步频修改器开发全攻略】:从0到1构建高效模拟器
![大牛模拟器 模拟器型应用,可以对许多跑步软件进行步频,步数,速度等方面修改.zip]...在开发环境方面,详细说明了工具选择、软件架构设计及版本控制与测试流程。本文还介绍了步频修改器的功能实
【Babylon.js引擎可扩展性】:定制化插件与功能开发指南
!...# 1. Babylon.js引擎概述与可扩展性基础 ## 1.1 引擎概览 Babylon.js是一个开源的高性能WebGL游戏引擎,适用于创建3D场景和交互式内容。它提供了一套易于使用的API,让开发者能够快速构建具有高级渲染效果的应用,...
SSM 系统主动防御 HIPS 最终版及注册码
04-09
SSM全名“System Safety Monitor”,简称SSM。是一款俄罗斯出品的系统监控软件,通过监视系统特定的文件(如注册表等)及应用程序,达到保护系统安全的目的。是一款对系统进行全方位监测的防火墙工具,它不同于传统意义上的防火墙,系针对操作系统内部的存取管理,因此与任何网络/病毒防火墙都是不相冲突的。该软件获得了WebAttack的五星编辑推荐奖,十分优秀!是一款很好的HIPS. 此压缩包包含了终身注册码和最终版程序
文件系统Minifilter驱动(三)
听风
03-02 1万+
5).管理文件名filter管理器消除了legacy过滤驱动重获和管理文件名所必需的许多工作。当一个名被请求时,filter管理器在引用计数结构中以适当的格式为当前操作提供名: 规范名, opened名或短名.  minifilter驱动可以调用FltGetDestinationFileNameInformation 来为正被rename或其NTFS hard link正被创建的文件或
Windows 消息陷阱
FreeWave's space
01-21 3966
  也许题目有些夸张,但是Windows消息方面确实存在一些不去探究就摸不着头脑的事情,这种问题不是明显错误,不会抛出异常,但却是最棘手的问题,给调试带来很大麻烦,所以我将实际遇到的问题整理如下,以供参考。 一、Windows 消息以及消息处理算法Windows以消息驱动的方式,使得线程能够通过处理消息来响应外界。Windows 为每个需要接受消息和处理消息的线程建立消息队列(包括发送
Messenger:使用消息的跨进程通信
xwanglyxwangly的专栏
06-29 304
Messenger:信使 官方文档解释:它引用了一个Handler对象,以便others能够向它发送消息(使用mMessenger.send(Message msg)方法)。该类允许跨进程间基于Message的通信(即两个进程间可以通过Message进行通信),在服务端使用Handler创建一个Messenger,客户端持有这个Messenger就可以与服务端通信了。   以前我们使用Han...
EXE和SYS基于事件同步消息通知
125096
12-30 715
#ifndef _HEADER_HEAD_FILE #define _HEADER_HEAD_FILE #pragma once #include #include #ifndef MAX_PATH #define MAX_PATH 260 #endif NTKERNELAPI UCHAR * PsGetProcessImageFileName(__in PEPROCESS Proce
linux 天文软件,Stellarium 0.18.0虚拟天文馆软件发布,支持HiPS
weixin_42311115的博客
05-04 451
免费和开源的虚拟天文馆软件Stellarium 0.18.0昨晚发布。新版本增加了对分层递进调查(HiPS)的支持。增加了支持分层递进调查[HiPS](Stellarium中多波长宇宙的Hello可视化)添加了TeXLive的补丁增加了Dnoces星号增加了地球日食量和日食遮挡的计算(特例)添加了允许添加一些天空背景颜色的选项新增月龄计算增加了“西方(O.Hlad)”天空文化增加了对脉冲星的普通名...
MiniFilter文件系统学习
热门推荐
zhuhuibeishadiao
04-23 1万+
Minfilter与legacy filter区别 比sfilter加载顺序更易控制. altitude被绑定到合适的位置。  Minfilter在注册表服务项中有一项Altitude值 此值越高位置越靠前 (待考证 每一个minifilter驱动必须有一个叫做altitude的唯一标识符.一个minifilter驱动的altitude定义了它加载时在I/O栈中相对其他minifi
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值