前言
我们来总结一下前几章我们干了什么:
我们实现了进程监控,能知道进程创建和退出,并且实现文件读写监控,能知道文件的落地和读取.这其实已经成功一半了.因为对于杀毒软件来说,内核知道了这些,剩下的就是想办法发给应用层(以下统一叫做R3)扫一下是不是病毒,如果是病毒做隔离什么的.所以R0跟R3的通讯非常重要.
如果是EDR,这些操作还要发一份到服务器里面存日志.对做EDR感兴趣吗?感兴趣的这个系列完结后,我们下一个系列开始介绍~
让我们直接开始,考虑到后面还有非常多的文章,我们得压缩一下章节,所以这次菜比较硬,坐稳了. -这很痛苦,但是搞完了你就有爽感了.
R3连接R0
在有了minifilter后,我们R3跟R0的链接极其简单-简单到不可思议:
首先,这已经是第五章了,我默认你已经每个API都会自动查MSDN看清楚为什么了.我们这边就不再介绍,看不懂的先去读好MSDN,这里不是基础扫盲文章
首先,我们需要用FltBuildDefaultSecurityDescriptor确定我们的安全描述符
原文始发于微信公众号(冲鸭安全):安全开发: Minifilter通讯(上)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论