PC逆向 minifilter应用

00:00 - 深入探讨mini feel开发流程与技巧

本次讨论重点在于mini feel的开发流程，从创建项目到编译、调试，直至最终运行的全过程。讨论中强调了对工程格式的理解，项目创建的步骤，以及如何正确配置项目属性以适应开发需求。特别指出，在开发过程中可能会遇到的错误及其解决方法，比如通过调整工程属性和正确处理INF文件来解决编译错误。此外，还探讨了驱动注册的过程，解释了注册表中的变化及其意义，以及驱动加载的机制。最后，强调了开发过程中的实践技巧，比如如何有效地调试和运行驱动程序。

16:38 - Mini Filt（Mini FUD）框架及其应用解析

在讨论中，主讲人详细介绍了Mini Filt（Mini FUD）框架的起源、结构、和应用。这个框架是为了应对文件过滤需求而由微软开发的，旨在简化开发者在进行文件系统操作时的复杂度。Mini Filt框架基于回调机制，提供了对文件创建、读写、关闭等操作的过滤能力，从而使得开发者能够更方便地实现诸如文件隐藏、劫持或派发等功能。此外，主讲人还强调了框架的两层结构设计，一层面向应用开发者，另一层为杀毒软件等特定需求准备。讨论还覆盖了注册回调函数、IO请求包的处理以及上下文提供机制等技术细节，旨在让听众更好地理解Mini Filt框架的工作原理和应用方式。

27:53 - 深入理解回调函数及其在文件操作中的应用

本次对话详细讲解了回调函数的格式及其在文件操作中的应用，特别是关注于三个关键参数的使用：包、操作类型和状态。讨论了如何通过回调函数处理文件操作，例如过滤不同类型的IO操作，获取文件名，以及如何处理回调的返回值以控制后续操作的执行。特别指出，在回调函数中避免使用可能导致重入的API调用，以防止无限循环或意外行为。同时，强调了回调函数在实现透明加密等高级功能时的重要性，以及如何利用提供的API避免重入问题。

40:21 - 解决NT4加载和注册表问题的详细讲解

对话中讨论了如何解决NT4加载问题，重点讲解了初始化过程和往注册表中填入必要值的步骤。通过对比正确的注册表设置与实际情况，解释了注册失败的原因，并详细说明了如何通过模板正确地将值写入注册表。此外，还讨论了API使用、参数传递、绝对路径的重要性以及对32位与64位系统加载驱动差异的处理。

46:46 - 创建和注册ETW实例的过程说明

在讲解中，首先强调了创建目录和文件的重要性，特别是如何为ETW（事件跟踪Windows）创建一个名为'instance'的目录。此外，指出了在不调用特定注册表创建函数的情况下，直接组装路径并写入默认instance的方法。特别强调了instance名称的命名规则，需与驱动或服务名称保持一致，以便正确注册。随后，讲解了在Windows内核中注册ETW实例的两步过程：首先是写入初始化结构但不运行，其次是让其运行或进行卸载。最后，通过一个具体示例说明了如何获取和处理文件名以及相关的查询选项，体现了实际操作中的重要细节。

53:00 - 探讨NT4加载和内存隐藏技术

讨论集中在如何通过NT4加载来实现内存隐藏技术，包括驱动隐藏和创建注册表键值以规避检测。强调了动手实践的重要性，并简要提到了安全公司对这类技术的反制措施。

59:49 - 深入探讨操作系统内核及驱动程序分析

讨论重点在于操作系统内核中的过滤系统、文件系统以及微端口的功能和操作。特别强调了链表机制在内核中的应用，包括真链表和假链表的区别，以及如何通过注册回调函数来操作这些链表。还提到了对于特定驱动（如NTFS.sys）的分析方法，以及如何通过添加跳板来处理地址，避免被扫描。最后，提到了学习这个领域的入门并不难，但对于精通需要花费更多时间。此外，还预告了接下来将讨论如何拦截EXE文件或其他加载行为的技术。

原文始发于微信公众号（逆向有你）：PC逆向 -- minifilter应用