Hello, malexwar!
You wrote on Tue, 04 Oct 2005 05:53:18 GMT:
m> Уважаемые специалисты подскажите пожалуйста с чего начать и примерный m> план действий? m> Задача: m> Необходимо написать драйвер уровня ядра (kernel mode), который должен m> скрывать файл c:\windows\notepad.exe от всех процессов в системе, m> кроме менеджера файлов FAR m> Все процессы в системе (включая системные), кроме процесса FAR, m> должны считать, что файла c:\windows\notepad.exe в системе не m> существуют. При этом m> FAR должен иметь возможность просмотреть содержимое данного файла.
m> Драйвер должен работать как минимум под XP/2000. m> Спасибо!
Судя по тому, что ты запостил тему в этот форум, то начать надо с обсуждения
размера вознаграждения за предполагаемую работу
With best regards, Yury Kopyl. E-mail: hrg@yandex.ru
Уважаемые специалисты подскажите пожалуйста с чего начать и примерный план действий?
Задача:
Необходимо написать драйвер уровня ядра (kernel mode), который должен
скрывать файл c:\windows\notepad.exe от всех процессов в системе, кроме
менеджера файлов FAR
Все процессы в системе (включая системные), кроме процесса FAR, должны
считать, что файла c:\windows\notepad.exe в системе не существуют. При этом
FAR должен иметь возможность просмотреть содержимое данного файла.
Драйвер должен работать как минимум под XP/2000.
Спасибо!
Здравствуйте, malexwar, Вы писали:
M>Уважаемые специалисты подскажите пожалуйста с чего начать и примерный план действий? M>Задача: M>Необходимо написать драйвер уровня ядра (kernel mode), который должен M>скрывать файл c:\windows\notepad.exe от всех процессов в системе, кроме M>менеджера файлов FAR M>Все процессы в системе (включая системные), кроме процесса FAR, должны M>считать, что файла c:\windows\notepad.exe в системе не существуют. При этом M>FAR должен иметь возможность просмотреть содержимое данного файла.
А какая цель может быть подобного драйвера? Уверен, что разработчикам Microsoft в страшном сне не снилось, что драйвера будут писать для подобных задач.
Здравствуйте, malexwar, Вы писали:
M>Уважаемые специалисты подскажите пожалуйста с чего начать и примерный план действий? M>Задача: M>Необходимо написать драйвер уровня ядра (kernel mode), который должен
нафига драйвер ? если скрывать от обычных приложений, то драйвер это перебор. Если скрывать от антивирусов, то драйвер сляпанный новичком ничего не сделает.
Здравствуйте, malexwar, Вы писали:
M>Уважаемые специалисты подскажите пожалуйста с чего начать и примерный план действий?
сначала научиться писать обычные НТ драйвера (или найти того кто это уже умеет)
затем welcome to file system filter drivers world
M>Задача: M>Необходимо написать драйвер уровня ядра (kernel mode), который должен M>скрывать файл c:\windows\notepad.exe от всех процессов в системе, кроме M>менеджера файлов FAR
лучше сказать: от всех процессов кроме тех что в списке trusted applications
M>Все процессы в системе (включая системные), кроме процесса FAR, должны M>считать, что файла c:\windows\notepad.exe в системе не существуют. При этом M>FAR должен иметь возможность просмотреть содержимое данного файла.
M>Драйвер должен работать как минимум под XP/2000.
это можно попробовать сделать через фильтр (или минифильтр) файловой системы
он должен уметь
— перехватывать запросы на открытие-создание файла (IRP_MJ_CREATE)
— обрабатывать запросы на листинг каталога (IRP_MJ_DIRECTORY_CONTROL) дабы скрыть файл от других процессов
— проверять какой процесс пытается обратиться к файлу notepad.exe и обламывать вызов если это не Far.exe
— простой проверки по имени процесса недостаточно — кто-то может скопировать explorer.exe в far.exe, тут надо подумать о PID (ProcessID) и полном пути до процесса как минимум. Возможно, имеет смысл даже проверять Far ли это вычисляя CRC процесса, который пытается обратиться и сверяя с заранее рассчитанными контрольными суммами "подписанных" процессов из trusted apps list
в принципе можно без пункта 1 прототип сделать, тогда только прямые обращения CreateFile(path to notepad,...) будут проходить, а в каталогах explorer файла видно не будет и соотв соблазна его потрогать будет меньше. В т.ч. и запуская notepad.exe из комстроки — его ОС не найдет в path каталогах и соотв не запустит — хотя это надо протестировать на всех ОС и SPs для уверенности, возможно notepad.exe находится в спец списке внутри ОС и может быть запущен напрямую...
PS есть сомнение что system процесс можно\нужно исключать из списка trusted applications
PPS поиск по выделенным ссылками словам на этом форуме даст доп инфу
Valery A. Boronin, RSDN Team, linkedin.com\in\boronin
R&D Mgmt & Security. AppSec & SDL. Data Protection and Systems Programming. FDE, DLP, Incident Management. Windows Filesystems and Drivers.
