elva

本地目錄的只讀控制（禁止寫、刪除、新建））

2005.4.26

幾句廢話：
這是我在驅網發的第二篇文章，第一篇是關于利用過濾驅動將U盤設置為只讀的。
這篇是利用文件系統過濾驅動將一個目錄（本地硬盤）設置為只讀，包括禁止修改
文件，禁止刪除文件，禁止新建文件等。我最終的目的是想實現利用文件過濾驅動
將任意盤（包括移動，A等）設置為只讀。因此我的路還很長，還需要各位的幫助。

正文：
0 準備工作：
由于是對文件、目錄的攔截。首先要知道如何得到路徑、文件名、盤符等等。否則
你沒有辦法去做判斷。我使用IFS 中的sfilter修改。因此沒有filemon那樣有直接的
函數取得。
在驅動中取得盤符和路徑是分開的。取得盤符使用RtlVolumeDeviceToDosName (file->DeviceObject,&dosname); 取得路徑的方法是：
irpSp = IoGetCurrentIrpStackLocation( Irp );
file = irpSp->FileObject;
RtlCopyUnicodeString(&name,&file->FileName);
DbgPrint(\"%ws\",(&name)->Buffer);// 這個地方直接用name.Buffer什么也打印不出來，奇怪
但是這里要注意的是并不是每一個IRP中的irpSp->FileObject都有，很多時候是NULL。這個值有
文件系統來填寫。所以在取路徑前一定要做相應的判斷，否則會藍屏。

1 禁止訪問目錄：
實現禁止訪問目錄是比較簡單的，有很多的方法。我是在IRP_MJ_DIRECTORY_CONTROL
中判斷是不是要禁止的目錄，然后攔截。攔截的操作我就不多說了，基本一樣：
Irp->IoStatus.Status = STATUS_ACCESS_DENIED;
Irp->IoStatus.Information = 0;
status = Irp->IoStatus.Status;
IoCompleteRequest(Irp, IO_NO_INCREMENT);
return status;

2 設置目錄為只讀
由于禁止目錄訪問的方法很容易，所以很容易讓人覺得禁止寫是不是就是在IRP_MJ_WRITE中
判斷目錄路徑然后直接攔截了。我測試后發現不能這樣實現，論壇上的人告我將目錄設置為只讀
實際上是把目錄下所有文件設置為只讀，即有一目錄C:\\Jason你想設置為只讀，實際的操作是：
對于該目錄下任一文件xx.xx，當該文件想進行寫的時候，驅動會得到路徑\\Jason\\xx.xx，此時
判斷文件的父目錄是不是\\Jason并攔截之，即可實現\\Jaosn\\xx.xx的只讀控制。
到目前我實現就是使用這樣的方法，是不是可以直接對目錄進行攔截，我不知道。

有了這個概念，還需要一些技巧去實現。主要是在實現父目錄匹配的字符串比較上。這個調
試一下就可以解決了。

3 禁止刪除
禁止刪除也還算簡單，但是如果你象我一樣是一個人瞎搞，也許不會知道這個方法。在此感謝
joshua_yu 告訴我這個方法。
在IRP_MJ_SET_INFORMATION中，
PIO_STACK_LOCATION irpSp = IoGetCurrentIrpStackLocation(Irp);
irpSp->Parameters.SetFile.FileInformationClass == FileDispositionInformation
核心的就是判斷irpSp->Parameters.SetFile.FileInformationClass 是不是等于
FileDispositionInformation。
但是我一直很奇怪就是這些技術我怎么沒有看到，而別人看的到？看的什么資料？？

4 禁止創建文件
這里主要就是要區別一下新建文件和打開文件。對于這個過程，joshua_yu有他自己的理解：
“我是這樣認為的：
當我們調用CreateFile并且希望創建一個文件的時候，系統會首先發送一個標志為FILE_OPEN的請求，并且判斷底層文件系統的返回值，如果返回成功，則表明文件存在并且已經成功打開，否則如果返回結果是NO SUCH FILE，則緊接著創建一個FILE_OPEN_IF請求，得以將文件創建，所以如果我們在Create的Options當中發現了FILE_CREATE，FILE_OPEN_IF和FILE_OVERWRITE_IF三個標志，則表明一定是在創建而不是打開。”

原理就是這樣，代碼實現我是這樣做的：
CreateDisposition = (irpSp->Parameters.Create.Options>> 24) & 0x000000ff;
if(CreateDisposition==FILE_CREATE||CreateDisposition==FILE_OPEN_IF
||CreateDisposition==FILE_OVERWRITE_IF)
{
DbgPrint(\"It is a CREATE FILE operation\\n\");
Irp->IoStatus.Status = STATUS_ACCESS_DENIED;
Irp->IoStatus.Information = 0;
status = Irp->IoStatus.Status;
IoCompleteRequest(Irp, IO_NO_INCREMENT);
return status;
}

5 一些其他問題：
由于這個是一點一點改好的，所以我能想到的主要技術就是這么多了。如果有問題，請和我交流
zhjie374@hotmail.com

順便問個問題：移動設備動態插拔我怎么才能攔截到它的IRP？

6 最后還是要說一句：本人畢業于排名300開外的大學，水平有限，有錯誤之處請各位批評指正。

Jason Zhang SCT_SH 2005.4.26

posted on 2007-05-07 23:54 葉子閱讀(4444) 評論(2) 編輯收藏引用所屬分類: 驅動開發

Feedback

# re: 本地目錄的只讀控制（禁止寫、刪除、新建）） 2009-12-04 16:51 cj

寫的不錯啊。
交流：QQ：2151636 回復更多評論

# re: 本地目錄的只讀控制（禁止寫、刪除、新建）） 2010-06-25 15:53 Madision.Zhang

禁止移入是怎么實現的？
如果人家將文件夾外面的文件移動到文件夾內，那也是修改了文件夾的內容

我現在就是弄不明白這個應該怎么阻止，阻止open any的方法可以的，但是會引起系統的不穩定。。。

望一同交流解決shxz.zhang@gmail.com 回復更多評論

刷新評論列表

只有注冊用戶登錄后才能發表評論。


相關文章: 使用Virtual PC進行Windows內核調試的詳細過程 The KLOG Rootkit:A Walk-through 利用鉤子技術控制進程創建驅動程序安裝-INF Hook API監視驅動的加載文件過濾驅動開發輔助工具集本地目錄的只讀控制（禁止寫、刪除、新建））文件加密標識－隱藏文件頭的黑客代碼 Windows 文件過濾驅動經驗總結

網站導航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

統計信息

隨筆 - 202
文章 - 1
評論 - 115
Trackbacks - 0

News

當你對某個領域感興趣時，你會在走路、上課或洗澡時都對它念念不忘，你在該領域內就更容易取得成功。更進一步，如果你對該領域有激情，你就可能為它廢寢忘食，連睡覺時想起一個主意，都會跳起來

常用鏈接

留言簿(19)

隨筆分類

隨筆檔案

相冊

1
2
3
other

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品