Minifilter 是一種文件過濾驅動,該驅動簡稱為微過濾驅動,相對於傳統的`sfilter`文件過濾驅動來說,微過濾驅動編寫時更簡單,其不需要考慮底層RIP如何派發且無需要考慮相容性問題,微過濾驅動使用過濾管理器`FilterManager`提供介面,由於提供了管理結構以及一系列管理API函數,... ...
Minifilter 是一種文件過濾驅動,該驅動簡稱為微過濾驅動,相對於傳統的sfilter文件過濾驅動來說,微過濾驅動編寫時更簡單,其不需要考慮底層RIP如何派發且無需要考慮相容性問題,微過濾驅動使用過濾管理器FilterManager提供介面,由於提供了管理結構以及一系列管理API函數,所以枚舉過濾驅動將變得十分容易。
通常文件驅動過濾是ARK重要功能之一,如下是一款閉源ARK工具的輸出效果圖。
由於MiniFilter提供了FltEnumerateFilters函數,所以只需要調用這些函數即可獲取到所有的過濾器地址,我們看下微軟公開的信息。
NTSTATUS FLTAPI FltEnumerateFilters(
[out] PFLT_FILTER *FilterList,
[in] ULONG FilterListSize,
[out] PULONG NumberFiltersReturned
);
此函數需要註意,如果用戶將FilterList設置為NULL則預設是輸出當前系統中存在的過濾器數量,而如果傳入的是一個記憶體地址,則將會枚舉系統中所有的過濾器信息。
使用FltEnumerateFilters這個API,它會返回過濾器對象FLT_FILTER的地址,然後根據過濾器對象的地址,加上一個偏移,獲得記錄過濾器PreCall、PostCall、IRP等信息的PFLT_OPERATION_REGISTRATION結構體指針。
上文之所以說要加上偏移,是因為FLT_FILTER的定義在每個系統都不同,比如WIN10 X64中的定義以下樣子,這裡我們需要記下+0x1a8 Operations因為他指向的就是_FLT_OPERATION_REGISTRATION結構的偏移地址。
lyshark.com: kd> dt fltmgr!_FLT_FILTER
+0x000 Base : _FLT_OBJECT
+0x030 Frame : Ptr64 _FLTP_FRAME
+0x038 Name : _UNICODE_STRING
+0x048 DefaultAltitude : _UNICODE_STRING
+0x058 Flags : _FLT_FILTER_FLAGS
+0x060 DriverObject : Ptr64 _DRIVER_OBJECT
+0x068 InstanceList : _FLT_RESOURCE_LIST_HEAD
+0x0e8 VerifierExtension : Ptr64 _FLT_VERIFIER_EXTENSION
+0x0f0 VerifiedFiltersLink : _LIST_ENTRY
+0x100 FilterUnload : Ptr64 long
+0x108 InstanceSetup : Ptr64 long
+0x110 InstanceQueryTeardown : Ptr64 long
+0x118 InstanceTeardownStart : Ptr64 void
+0x120 InstanceTeardownComplete : Ptr64 void
+0x128 SupportedContextsListHead : Ptr64 _ALLOCATE_CONTEXT_HEADER
+0x130 SupportedContexts : [7] Ptr64 _ALLOCATE_CONTEXT_HEADER
+0x168 PreVolumeMount : Ptr64 _FLT_PREOP_CALLBACK_STATUS
+0x170 PostVolumeMount : Ptr64 _FLT_POSTOP_CALLBACK_STATUS
+0x178 GenerateFileName : Ptr64 long
+0x180 NormalizeNameComponent : Ptr64 long
+0x188 NormalizeNameComponentEx : Ptr64 long
+0x190 NormalizeContextCleanup : Ptr64 void
+0x198 KtmNotification : Ptr64 long
+0x1a0 SectionNotification : Ptr64 long
+0x1a8 Operations : Ptr64 _FLT_OPERATION_REGISTRATION
+0x1b0 OldDriverUnload : Ptr64 void
+0x1b8 ActiveOpens : _FLT_MUTEX_LIST_HEAD
+0x208 ConnectionList : _FLT_MUTEX_LIST_HEAD
+0x258 PortList : _FLT_MUTEX_LIST_HEAD
+0x2a8 PortLock : _EX_PUSH_LOCK
解析FLT_OPERATION_REGISTRATION結構體,可以看到這就是我們需要枚舉的過濾器,只要拿到它輸出即可:
lyshark.com: kd> dt fltmgr!_FLT_OPERATION_REGISTRATION
+0x000 MajorFunction : UChar
+0x004 Flags : Uint4B
+0x008 PreOperation : Ptr64 _FLT_PREOP_CALLBACK_STATUS
+0x010 PostOperation : Ptr64 _FLT_POSTOP_CALLBACK_STATUS
+0x018 Reserved1 : Ptr64 Void
枚舉過濾器代碼如下所示,需要配置連接器增加fltMgr.lib頭文件。
- 配置屬性 > 連接器 > 輸入> 附加依賴 -> fltMgr.lib
- 配置屬性 > C/C++ > 常規 > 設置 警告等級2級 (警告視為錯誤關閉)
#include <fltKernel.h>
#include <dontuse.h>
#include <suppress.h>
// 設置預設回調
NTSTATUS DriverDefaultHandle(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{
NTSTATUS status = STATUS_SUCCESS;
pIrp->IoStatus.Status = status;
pIrp->IoStatus.Information = 0;
IoCompleteRequest(pIrp, IO_NO_INCREMENT);
return status;
}
VOID DriverUnload(PDRIVER_OBJECT pDriverObject)
{
}
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegPath)
{
DbgPrint("hello lyshark.com \n");
NTSTATUS status = STATUS_SUCCESS;
pDriverObject->DriverUnload = DriverUnload;
for (ULONG i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++)
{
pDriverObject->MajorFunction[i] = DriverDefaultHandle;
}
ULONG ulFilterListSize = 0;
PFLT_FILTER *ppFilterList = NULL;
ULONG i = 0;
LONG lOperationsOffset = 0;
PFLT_OPERATION_REGISTRATION pFltOperationRegistration = NULL;
// 獲取 Minifilter 過濾器Filter 的數量
FltEnumerateFilters(NULL, 0, &ulFilterListSize);
// 申請記憶體
ppFilterList = (PFLT_FILTER *)ExAllocatePool(NonPagedPool, ulFilterListSize *sizeof(PFLT_FILTER));
if (NULL == ppFilterList)
{
return FALSE;
}
// 獲取 Minifilter 中所有過濾器Filter 的信息
status = FltEnumerateFilters(ppFilterList, ulFilterListSize, &ulFilterListSize);
if (!NT_SUCCESS(status))
{
return FALSE;
}
DbgPrint("過濾器數量: %d \n", ulFilterListSize);
// 獲取 PFLT_FILTER 中 Operations 偏移
lOperationsOffset = 0x1A8;
// 開始遍歷 Minifilter
__try
{
for (i = 0; i < ulFilterListSize; i++)
{
// 獲取 PFLT_FILTER 中 Operations 成員地址
pFltOperationRegistration = (PFLT_OPERATION_REGISTRATION)(*(PVOID *)((PUCHAR)ppFilterList[i] + lOperationsOffset));
__try
{
// 同一過濾器下的回調信息
while (IRP_MJ_OPERATION_END != pFltOperationRegistration->MajorFunction)
{
if (IRP_MJ_MAXIMUM_FUNCTION > pFltOperationRegistration->MajorFunction)
{
// 顯示
DbgPrint("Filter: %p | IRP: %d | PreFunc: 0x%p | PostFunc=0x%p \n", ppFilterList[i], pFltOperationRegistration->MajorFunction,
pFltOperationRegistration->PreOperation, pFltOperationRegistration->PostOperation);
}
// 獲取下一個消息回調信息
pFltOperationRegistration = (PFLT_OPERATION_REGISTRATION)((PUCHAR)pFltOperationRegistration + sizeof(FLT_OPERATION_REGISTRATION));
}
}
__except (EXCEPTION_EXECUTE_HANDLER)
{
}
}
}
__except (EXCEPTION_EXECUTE_HANDLER)
{
}
// 釋放記憶體
ExFreePool(ppFilterList);
ppFilterList = NULL;
return status;
}
運行代碼輸出枚舉效果如下:
文章出處:https://www.cnblogs.com/LyShark/p/16799675.html
版權聲明:本博客文章與代碼均為學習時整理的筆記,文章 [均為原創] 作品,轉載請 [添加出處] ,您添加出處是我創作的動力!
轉載文章請遵守《中華人民共和國著作權法》相關法律規定或遵守《署名CC BY-ND 4.0國際》規範,合理合規攜帶原創出處轉載,如果不攜帶文章出處,並惡意轉載多篇原創文章被本人發現,本人保留起訴權!
