HIPS实现

最新推荐文章于 2024-12-12 11:22:40 发布
原创 最新推荐文章于 2024-12-12 11:22:40 发布 · 1.9k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#内核 #HIPS #主动防御 #弹窗

HIPS思路:

1.驱动将捕获的操作放入一个等待链表中(包括一个标识ID,一个event,一个等待结果的域);同时将操作内容放入一个内容链表中,并完成来自应用层的读pendingirp列表
2.wait for event


1.应用层开一个独立线程负责读出(overlapped)驱动中链表中的内容.如果此时没有内容可读,则pending入pending irp列表中
2.驱动提供自己控制设备的读请求,将链表中的内容提供给应用层的读操作
3.应用层拿到操作内容,弹窗
4.应用层通过IOCTL下发用户指定的结果

1.在驱动IOCTL分发函数中,将用户结果放入链表中同ID的结构中
2.驱动IOCTL分发函数中设置EVENT
3.驱动拿到用户操作结果
4.摘掉链表中的操作,并获取操作中的结果
5.驱动根据操作结果判断是否允许或者阻止
6.下发结果


R0将检测到的攻击行为放到一个链表中(如果没有可用IRP) 应用层发送读请求就到这个链表中取
如果有可用IRP就直接将这次行为给这个IRP(这时R3一定已经在等待了 看后面就会懂)
代码: 
 //设置事件相关的数据,发送给R3,比如进程ID,名字,路径,以及具体操作(创建,修改,删除)等等
	//当然,这里,我们只是简单的捕捉了进程的ID或者名字等
    ulPtr = (ULONG_PTR)PsGetCurrentProcessId();
    lpNewOpInfo->m_ulProcessID = (ULONG_PTR)ulPtr;


    lpNewOpInfo->m_ulWaitID = MakeWaitID();//区别不同事件的ID




    lpNewWaitEntry = (WAIT_LIST_ENTRY*)ExAllocatePool(NonPagedPool, sizeof(WAIT_LIST_ENTRY));
    if (lpNewWaitEntry == NULL)
    {
        goto End;
    }
	
    lpNewWaitEntry->m_ulWaitID = lpNewOpInfo->m_ulWaitID;
    KeInitializeEvent(&lpNewWaitEntry->m_ulWaitEvent, SynchronizationEvent, FALSE);
	
    // 插入等待队列,等待R3下发结果
    LockWrite(&g_WaitListLock);
	InsertTailList(&g_WaitList, &lpNewWaitEntry->m_List);
    UnLockWrite(&g_WaitListLock);






    LockWrite(&g_PendingIrpListLock);
    bSuccess = CompletePendingIrp(&g_PendingIrpList, lpNewOpInfo);//查看是否有未完成的pendingIRP,直接将该OperInfo传给R3
    UnLockWrite(&g_PendingIrpListLock);


	if (bSuccess == FALSE)	//完成pending irp失败,将lpNewOpInfo插入operlist
	{
        LockWrite(&g_OperListLock);
        InsertTailList(&g_OperList, &lpNewOpInfo->m_List); //插入OperList,等待R3来读取
        UnLockWrite(&g_OperListLock);
   
        lpNewOpInfo = NULL;
	}



注意下:这是如果是看有没有未完成的IRP 有就直接给它了 没有就将检测到的攻击行为插入记录事件链表 
CompletePendingIrp:
BOOLEAN
CompletePendingIrp(LIST_ENTRY* pIrpListHead, OP_INFO* pOpInfo)
{
	LIST_ENTRY			*lpIrpList	= NULL;
	PIRP				lpIrp		= NULL;
	BOOLEAN				bFound		= FALSE;
	BOOLEAN				bReturn		= FALSE;
	
	if (IsListEmpty(pIrpListHead) == TRUE)
	{
		return bReturn;
	}
	
	for (lpIrpList = pIrpListHead->Flink; lpIrpList != pIrpListHead; lpIrpList = lpIrpList->Flink)
	{
		lpIrp = CONTAINING_RECORD(lpIrpList, IRP, Tail.Overlay.ListEntry);
		if (IoSetCancelRoutine(lpIrp, NULL))
		{
			RemoveEntryList(lpIrpList);
			bFound = TRUE;
			break;
		}
	}
	
	if (bFound == FALSE)
	{
		return bReturn;
	}
	
	RtlCopyMemory(lpIrp->AssociatedIrp.SystemBuffer, pOpInfo, sizeof(RING3_OP_INFO));
	
	lpIrp->IoStatus.Information = sizeof(RING3_OP_INFO);
	lpIrp->IoStatus.Status = STATUS_SUCCESS;
	
	IoCompleteRequest(lpIrp, IO_NO_INCREMENT);
	bReturn = TRUE;
	
	return bReturn;
}



读分发函数: 
NTSTATUS DispatchRead (
    IN PDEVICE_OBJECT	pDevObj,
    IN PIRP	lpIrp) 
{
	NTSTATUS			ntStatus		= STATUS_SUCCESS;
	ULONG				ulLength		= 0;
	PIO_STACK_LOCATION	lpIrpStack		= IoGetCurrentIrpStackLocation(lpIrp);
	OP_INFO				*lpOpInfoEntry	= NULL;
	LIST_ENTRY			*lpOpInfoList	= NULL;
	
	//如果读的len小于这个结构 就返回无效的
	if (lpIrpStack->Parameters.Read.Length < sizeof(RING3_OP_INFO))
	{
		ntStatus = STATUS_INVALID_PARAMETER;
		ulLength = 0;
		goto Completed;
	}
	
	//先锁定Write
	LockWrite(&g_OperListLock);
	
	//如果是空的链表 将这次的IRP放入Pending链表 就是如果没有消息 就将这次的请求保存起来 等有了在给它 
	//当这个IRP被处理时调用CommonIrpCancel这个函数 通知R3这个IRP被处理了
	if (IsListEmpty(&g_OperList) == TRUE)
	{
		UnLockWrite(&g_OperListLock);
		
		LockWrite(&g_PendingIrpListLock);
		PendingIrpToList(lpIrp, &g_PendingIrpList, CommonIrpCancel);
		UnLockWrite(&g_PendingIrpListLock);
	
		goto Pended;
	}
	
	//处理第一个节
	lpOpInfoList = g_OperList.Flink;
	//获得Entry头
	lpOpInfoEntry = CONTAINING_RECORD(lpOpInfoList, OP_INFO, m_List);
	//移除这个节点
	RemoveEntryList(lpOpInfoList);
	UnLockWrite(&g_OperListLock);
	
	//将链表的信息窗给R3
	RtlCopyMemory(lpIrp->AssociatedIrp.SystemBuffer, lpOpInfoEntry, sizeof(RING3_OP_INFO));
	ntStatus = STATUS_SUCCESS;
	ulLength = sizeof(RING3_OP_INFO);
	
	ExFreePool(lpOpInfoEntry);
	
Completed:
	
	lpIrp->IoStatus.Status = ntStatus;
	lpIrp->IoStatus.Information = ulLength;
	IoCompleteRequest(lpIrp, IO_NO_INCREMENT);
	return ntStatus;
	
Pended:
	return STATUS_PENDING;
}



有两种情况 一种是有攻击行为 这个链表有值 这时就很好办 下面是第一种的步骤


应用层使用异步读请求--如果驱动层这时有攻击事件(记录攻击事件的链表不为空)就直接获得信息见上面的读分发函数
并将这个事件插入等待队列 等待R3的结果
返回给R3的信息包括一个进程ID 进程名称 一个标记(用于区别不同事件)
结构如下:  
typedef struct _OP_INFO
{
    WCHAR     m_ProcessName[MAX_PATH];
    DWORD     m_ulProcessID;
    ULONG     m_ulWaitID;
    LIST_ENTRY m_List;
} OP_INFO, *POP_INFO;
但给R3的只给前三个数据 不需要拷贝 直接对上面的数据大小赋值sizeof(_OP_INFO_R3) 
typedef struct _OP_INFO_R3
{
    WCHAR     m_ProcessName[MAX_PATH];
    DWORD     m_ulProcessID;
    ULONG     m_ulWaitID;
}

驱动里面将这个等待事件插入等待队列 等待队列链表中结构如下 
typedef struct _WAIT_LIST_ENTRY
{
	LIST_ENTRY	m_List;
	ULONG		m_ulWaitID;
	KEVENT		m_ulWaitEvent;
	ULONG		m_bBlocked;
}WAIT_LIST_ENTRY;


注意:在插入之前要为其中的的事件和等待ID(就是上面的标记)赋值 m_bBlocked留空 等R3处理后再来赋值
代码: 

    lpNewOpInfo = (OP_INFO*)ExAllocatePool(PagedPool, sizeof(OP_INFO));


    if (lpNewOpInfo == NULL)
    {
        return NotifyResult;
    }


    //设置事件相关的数据,发送给R3,比如进程ID,名字,路径,以及具体操作(创建,修改,删除)等等
	//当然,这里,我们只是简单的捕捉了进程的ID或者名字等
    ulPtr = (ULONG_PTR)PsGetCurrentProcessId();
    lpNewOpInfo->m_ulProcessID = (ULONG_PTR)ulPtr;


    lpNewOpInfo->m_ulWaitID = MakeWaitID();//区别不同事件的ID




    lpNewWaitEntry = (WAIT_LIST_ENTRY*)ExAllocatePool(NonPagedPool, sizeof(WAIT_LIST_ENTRY));
    if (lpNewWaitEntry == NULL)
    {
        goto End;
    }
	
    lpNewWaitEntry->m_ulWaitID = lpNewOpInfo->m_ulWaitID;
    KeInitializeEvent(&lpNewWaitEntry->m_ulWaitEvent, SynchronizationEvent, FALSE);
	
    // 插入等待队列,等待R3下发结果
    LockWrite(&g_WaitListLock);
	InsertTailList(&g_WaitList, &lpNewWaitEntry->m_List);
    UnLockWrite(&g_WaitListLock);






    LockWrite(&g_PendingIrpListLock);
    bSuccess = CompletePendingIrp(&g_PendingIrpList, lpNewOpInfo);//查看是否有未完成的pendingIRP,直接将该OperInfo传给R3
    UnLockWrite(&g_PendingIrpListLock);


	if (bSuccess == FALSE)	//完成pending irp失败,将lpNewOpInfo插入operlist
	{
        LockWrite(&g_OperListLock);
        InsertTailList(&g_OperList, &lpNewOpInfo->m_List); //插入OperList,等待R3来读取
        UnLockWrite(&g_OperListLock);
   
        lpNewOpInfo = NULL;
	}


//并在这里等待40秒(R3等待30秒)


这40秒钟R3必定为发送一次读下来 读到信息后决定是否放行
R3返回结构 结构如下: 
typedef struct _R3_REPLY
{
    ULONG	m_ulWaitID;
    ULONG	m_ulBlocked;
}R3_REPLY;


m_ulWaitID 为读到的ID m_ulBlocked为是否放行
填好后使用DeviceIoControl将数据发送下去
驱动收到后 根据ID遍历等待链表并返回链表头 然后设置链表中的放行状态 
case IOCTL_SEND_RESULT_TO_R0://R3向内核传递弹窗结果,将对应的WaitID事件设置用户选择结果
		{
				RING3_REPLY			*lpReply		= NULL;
				WAIT_LIST_ENTRY		*lpWaitEntry	= NULL;
							
				if (lpIrpStack->Parameters.DeviceIoControl.InputBufferLength < sizeof(RING3_REPLY))
				{
						Irp->IoStatus.Information = 0;
						Irp->IoStatus.Status = STATUS_INVALID_PARAMETER;
						break;
				}
				lpReply = (RING3_REPLY*)Irp->AssociatedIrp.SystemBuffer;
							
				LockWrite(&g_WaitListLock);
				lpWaitEntry = FindWaitEntryByID(&g_WaitList, lpReply->m_ulWaitID);//根据WaitID,找到对应的拦截事件
							
				if (lpWaitEntry != NULL)
				{
						lpWaitEntry->m_bBlocked = lpReply->m_ulBlocked;
						KeSetEvent(&lpWaitEntry->m_ulWaitEvent, 0, FALSE);//设置EVENT事件,唤醒GetResultFromUser()里的等待事件
				}
							
				UnLockWrite(&g_WaitListLock);
							
				Irp->IoStatus.Information = 0;
				ntStatus = Irp->IoStatus.Status = STATUS_SUCCESS;
		}
		break;


设置EVENT事件后,唤醒前面等待的线程
线程被激活后 首先将这个事件移除链表 然后对数据监测 进行放行/阻止工作 并要释放先前为链表申请的内存 
// 等40秒,环3是30秒超时
    WaitTimeOut.QuadPart = -40 * 10000000;
	Status = KeWaitForSingleObject(&lpNewWaitEntry->m_ulWaitEvent, 
		Executive, KernelMode, FALSE, &WaitTimeOut);//等待R3下发允许或阻止操作


    LockWrite(&g_WaitListLock);
    RemoveEntryList(&lpNewWaitEntry->m_List);
    UnLockWrite(&g_WaitListLock);


    if (Status != STATUS_TIMEOUT)
    {
        if (lpNewWaitEntry->m_bBlocked == TRUE)
        {
            NotifyResult = R3Result_Block;
        }
        else
        {
            NotifyResult = R3Result_Pass;
        }
    }
    else
    {
        NotifyResult =  R3Result_DefaultNon;
    }




在回调中判断 就可以了
最低0.47元/天 解锁文章

200万优质内容无限畅学
hips监控防御资源管理驱动管理
09-30
hips,强大的文件管理功能,进程监控,强力清除各类病毒。可关闭杀软。
HiPS : Hierarchical Petri net Simulator:用于设计和分析分层Petri网的HiPS工具功能-开源
04-25
HiPS工具具有直观的GUI方式,可实现分层和/或定时网络设计。 HiPS工具还具有静态/动态分析功能:T不变检测,可达性路径分析,死锁状态检测和k有界分析。 另外,可以对每个点火步骤执行随机行走模拟。
hips算法实现
jia_zhengshen的专栏
01-13 1030
未完待续。。。。。。。 仿射变换参考文章: http://blog.youkuaiyun.com/xiaowei_cqu/article/details/7616044   (理论) http://blog.youkuaiyun.com/watkinsong/article/details/10212715  (应用);
自己的HIPS开发记录
kernweak的博客
07-18 547
记录下自己开发出现的bug以及原因,完成后提醒自己,不要再这么2 1.FltSendMessage的inputbuffer传错大小,本来应该穿自己分装的结构体大小,结果写错成了想传的结构体指针大小,所以造成蓝屏。提示bad_pool_header 2.在下发规则时候,IsPatternMatch(const PWCHAR pExpression, const PWCHAR pName, BOO...
hips算法学习
jia_zhengshen的专栏
01-03 2152
hips算法全称是“binary histogrammed intensity patches for efficient and robust " 由剑桥大学的Simon Taylor & Tom Drummond 提出。 主要参考资料:   1)Robust feature matching in 2.3µs         2)Multiple Target Loca
主机未知防御系统(HIPS)软件介绍
agle523的专栏
03-07 3698
 ·                                  HIPS:Host Intrusion Prevent System 主机入侵防御系统。HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改,并向你报告请求允许的的软件。如果你阻止了,那么它将无法运行或者更改。比如你双击了一个病毒程序,HIPS软件跳出来报告而你阻止了,那么病毒还是没有
2021年度HIPS行业人力资源效能分析报告(市场招聘用工).pdf
07-21
人力资源效能分析,是指在特定时期内,企业通过合理配置人力资源而实现的人均利润、人均成本、人均营业额等指标的优化。报告中提到,人力资源效能分析关注人均利润,人均成本和人均营业额等指标,旨在帮助企业提升...
禹盾HIPS(附源码)
04-07
开发者和安全研究人员可以通过阅读源码,了解如何实现这样的监控机制,以及如何定义和应用规则来区分正常和恶意行为。这涵盖了以下几个方面: 1. **事件检测**:学习禹盾HIPS如何捕获系统中的关键事件,如系统调用...
HIPS防护注册表关键位置
05-04
### HIPS防护注册表关键位置解析 #### 一、自启动项目:开始菜单下的“启动”文件夹 在Windows操作系统中,自启动项目是病毒和恶意软件常见的感染途径之一。开始菜单下的“启动”文件夹(`C:\Documents and ...
md hips 一种智能的HIPS软件
05-29
HIPS防护,一种智能的HIPS防护大大大大大大大大大大大大大大大大
HIPS系统基础知识
08-15
使用HIPS,就是——拦截有害行为,放行正常行为。 对于系统操作而言,则是——拦截病毒行为,放行系统正常行为
HIPS主机入侵防御系统 开源版
01-24
HIPS主机入侵防御系统 开源版 主机入侵防御系统
主流HIPS产品深度测试
03-14
对常见的9款HIPS产品进行4D评测,冷眼看安全于2007年发表,完整版。
linux 天文软件,Stellarium 0.18.0虚拟天文馆软件发布,支持HiPS
weixin_42311115的博客
05-04 451
免费和开源的虚拟天文馆软件Stellarium 0.18.0昨晚发布。新版本增加了对分层递进调查(HiPS)的支持。增加了支持分层递进调查[HiPS](Stellarium中多波长宇宙的Hello可视化)添加了TeXLive的补丁增加了Dnoces星号增加了地球日食量和日食遮挡的计算(特例)添加了允许添加一些天空背景颜色的选项新增月龄计算增加了“西方(O.Hlad)”天空文化增加了对脉冲星的普通名...
菜鸟新手使用HIPS(主机入侵防御体系)指导帖
The_IT_Crowd的专栏
06-15 4365
什么是HIPS? Host Intrusion Prevent System 主机入侵防御系统。HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改,并向你报告请求允许的的软件。如果你阻止了,那么它将无法运行或者更改。比如你双击了一个病毒程序,HIPS软件跳出来报告而你阻止了,那么病毒还是没有运行的。引用一句话:”病毒天天变种天天出新,使得杀软可能跟不上病毒的脚步,
Malware Defender(HIPS主动防御软件) V2.8 免费版
weixin_30758821的博客
10-30 338
软件名称: Malware Defender(HIPS主动防御软件) V2.8 免费版 软件语言: 简体中文 授权方式: 免费软件 运行环境: Win7 / Vista / Win2003 / WinXP 软件大小: 1.7MB 图片预览: 软件简介: malware defender是一个 hips(主机入侵防御系统)软件,它可以有效的保护您的计算机系统免受恶意软件(病毒、蠕虫、木马、广告软件...
火绒HIPS
m0_57836225的博客
08-06 810
普通的 HIPS 需要用户自己编写规则,而火绒内置了不少 HIPS 规则,还可以导入网友分享的规则包,这大大降低了用户的使用难度。当然,如果用户具备一定的安全知识,也可以自己编写规则,具有一定的可玩性。总的来说,火绒的 HIPS 兼顾了易用性和可玩性,其软件作风干净,内置工具好用,本土化功能也较多,在杀软玩家和普通用户中都获得了不错的评价。与一些主流的知名杀软相比,如卡巴斯基,卡巴斯基也有 hips 功能,并且还包含其他的安全措施。这些规则可以根据具体的安全需求进行定制和配置,以实现对系统的精确保护。
【免费软件】2024年8款最佳免费防病毒软件,零基础入门到精通,收藏这篇就够了
最新发布
隔壁王叔的博客
12-12 3954
【免费软件】2024年8款最佳免费防病毒软件,零基础入门到精通,收藏这篇就够了
HIPS软件的困境
weixin_33824363的博客
05-27 516
摘录自卡饭的一个帖子: 现在的趋势的确是沙盘。。。 以前我也是个HIPS的狂热爱好者,我还是初二的时候,就接触了HIPS,当时觉得,真的好高大上哦!什么钩子,什么内存,什么驱动。。。。 所以我开始拼命的研究HIPS的规则,从文件系统开始,我开始了解到,为什么要有临时目录%temp%,一个进程是怎么打开的,一个主页是怎么被修改的,system32里面究竟有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值