Q1815349357Q

  多年前，部分杀软就推出了U盘访问控制，摄像头保护的功能。

现在较火的端点防护概念，也强调自己设备权限控制的能力，但实现方法见智见仁。

  驱动级控制的原理是类过滤驱动，做内核开发的传统艺能了。

  比如：245K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6H3N6$3&6K6L8r3W2F1k6$3g2J5i4K6u0r3g2g2y4n7L8r3!0U0K9$3g2J5

  比如百度杀毒的BdCameraProtect.sys，笔者手里这份编译时间是：2013/10/30 (PE FILE_HEADER).

正好看到X绒的hrdevmon.sys，打开看一下。

在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class里搜索hrdevmon,能看到所有被过滤的类。

hrdevmon.sys Attach了如下两种DeviceType:

  - FILE_DEVICE_MASS_STORAGE

  - FILE_DEVICE_KS

对MASS_STORAGE设备的处理里，着重处理了：

  - MJ_FltMassStorageWrite

  - MJ_FltMassStorageDevCtl （IOCTL_SCSI_PASS_THROUGH & IOCTL_SCSI_PASS_THROUGH_DIRECT）

                             Cdb[0] (0xA or 0x2A or 0xAA)

[培训]科锐逆向工程师培训第53期2025年7月8日开班！