驅動開發：核心列舉Minifilter微過濾驅動

Minifilter 是一種檔案過濾驅動，該驅動簡稱為微過濾驅動，相對於傳統的sfilter檔案過濾驅動來說，微過濾驅動編寫時更簡單，其不需要考慮底層RIP如何派發且無需要考慮相容性問題，微過濾驅動使用過濾管理器FilterManager提供介面，由於提供了管理結構以及一系列管理API函數，所以列舉過濾驅動將變得十分容易。

通常檔案驅動過濾是ARK重要功能之一，如下是一款閉源ARK工具的輸出效果圖。

由於MiniFilter提供了FltEnumerateFilters函數，所以只需要呼叫這些函數即可獲取到所有的過濾器地址，我們看下微軟公開的資訊。

NTSTATUS FLTAPI FltEnumerateFilters(
  [out] PFLT_FILTER *FilterList,
  [in]  ULONG       FilterListSize,
  [out] PULONG      NumberFiltersReturned
);

此函數需要注意，如果使用者將FilterList設定為NULL則預設是輸出當前系統中存在的過濾器數量，而如果傳入的是一個記憶體地址，則將會列舉系統中所有的過濾器資訊。

使用FltEnumerateFilters這個API，它會返回過濾器物件FLT_FILTER的地址，然後根據過濾器物件的地址，加上一個偏移，獲得記錄過濾器PreCall、PostCall、IRP等資訊的PFLT_OPERATION_REGISTRATION結構體指標。

上文之所以說要加上偏移，是因為FLT_FILTER的定義在每個系統都不同，比如WIN10 X64中的定義以下樣子，這裡我們需要記下+0x1a8 Operations因為他指向的就是_FLT_OPERATION_REGISTRATION結構的偏移地址。

lyshark.com: kd> dt fltmgr!_FLT_FILTER
   +0x000 Base             : _FLT_OBJECT
   +0x030 Frame            : Ptr64 _FLTP_FRAME
   +0x038 Name             : _UNICODE_STRING
   +0x048 DefaultAltitude  : _UNICODE_STRING
   +0x058 Flags            : _FLT_FILTER_FLAGS
   +0x060 DriverObject     : Ptr64 _DRIVER_OBJECT
   +0x068 InstanceList     : _FLT_RESOURCE_LIST_HEAD
   +0x0e8 VerifierExtension : Ptr64 _FLT_VERIFIER_EXTENSION
   +0x0f0 VerifiedFiltersLink : _LIST_ENTRY
   +0x100 FilterUnload     : Ptr64     long 
   +0x108 InstanceSetup    : Ptr64     long 
   +0x110 InstanceQueryTeardown : Ptr64     long 
   +0x118 InstanceTeardownStart : Ptr64     void 
   +0x120 InstanceTeardownComplete : Ptr64     void 
   +0x128 SupportedContextsListHead : Ptr64 _ALLOCATE_CONTEXT_HEADER
   +0x130 SupportedContexts : [7] Ptr64 _ALLOCATE_CONTEXT_HEADER
   +0x168 PreVolumeMount   : Ptr64     _FLT_PREOP_CALLBACK_STATUS 
   +0x170 PostVolumeMount  : Ptr64     _FLT_POSTOP_CALLBACK_STATUS 
   +0x178 GenerateFileName : Ptr64     long 
   +0x180 NormalizeNameComponent : Ptr64     long 
   +0x188 NormalizeNameComponentEx : Ptr64     long 
   +0x190 NormalizeContextCleanup : Ptr64     void 
   +0x198 KtmNotification  : Ptr64     long 
   +0x1a0 SectionNotification : Ptr64     long 
   +0x1a8 Operations       : Ptr64 _FLT_OPERATION_REGISTRATION
   +0x1b0 OldDriverUnload  : Ptr64     void 
   +0x1b8 ActiveOpens      : _FLT_MUTEX_LIST_HEAD
   +0x208 ConnectionList   : _FLT_MUTEX_LIST_HEAD
   +0x258 PortList         : _FLT_MUTEX_LIST_HEAD
   +0x2a8 PortLock         : _EX_PUSH_LOCK

解析FLT_OPERATION_REGISTRATION結構體，可以看到這就是我們需要列舉的過濾器，只要拿到它輸出即可：

lyshark.com: kd> dt fltmgr!_FLT_OPERATION_REGISTRATION
   +0x000 MajorFunction    : UChar
   +0x004 Flags            : Uint4B
   +0x008 PreOperation     : Ptr64     _FLT_PREOP_CALLBACK_STATUS 
   +0x010 PostOperation    : Ptr64     _FLT_POSTOP_CALLBACK_STATUS 
   +0x018 Reserved1        : Ptr64 Void

列舉過濾器程式碼如下所示。

// 設定屬性 -> 聯結器 -> 輸入-> 附加依賴 -> fltMgr.lib
// 設定屬性 -> C/C++ -> 常規 -> 設定 警告等級2級 (警告視為錯誤關閉)

#include <fltKernel.h>
#include <dontuse.h>
#include <suppress.h>

// 設定預設回撥
NTSTATUS DriverDefaultHandle(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{
	NTSTATUS status = STATUS_SUCCESS;
	pIrp->IoStatus.Status = status;
	pIrp->IoStatus.Information = 0;
	IoCompleteRequest(pIrp, IO_NO_INCREMENT);

	return status;
}

VOID DriverUnload(PDRIVER_OBJECT pDriverObject)
{
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegPath)
{
	DbgPrint("hello lyshark.com \n");

	NTSTATUS status = STATUS_SUCCESS;
	pDriverObject->DriverUnload = DriverUnload;
	for (ULONG i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++)
	{
		pDriverObject->MajorFunction[i] = DriverDefaultHandle;
	}

	ULONG ulFilterListSize = 0;
	PFLT_FILTER *ppFilterList = NULL;
	ULONG i = 0;
	LONG lOperationsOffset = 0;
	PFLT_OPERATION_REGISTRATION pFltOperationRegistration = NULL;

	// 獲取 Minifilter 過濾器Filter 的數量
	FltEnumerateFilters(NULL, 0, &ulFilterListSize);

	// 申請記憶體
	ppFilterList = (PFLT_FILTER *)ExAllocatePool(NonPagedPool, ulFilterListSize *sizeof(PFLT_FILTER));
	if (NULL == ppFilterList)
	{
		return FALSE;
	}

	// 獲取 Minifilter 中所有過濾器Filter 的資訊
	status = FltEnumerateFilters(ppFilterList, ulFilterListSize, &ulFilterListSize);
	if (!NT_SUCCESS(status))
	{
		return FALSE;
	}

	DbgPrint("過濾器數量: %d \n", ulFilterListSize);

	// 獲取 PFLT_FILTER 中 Operations 偏移
	lOperationsOffset = 0x1A8;

	// 開始遍歷 Minifilter
	__try
	{
		for (i = 0; i < ulFilterListSize; i++)
		{
			// 獲取 PFLT_FILTER 中 Operations 成員地址
			pFltOperationRegistration = (PFLT_OPERATION_REGISTRATION)(*(PVOID *)((PUCHAR)ppFilterList[i] + lOperationsOffset));

			__try
			{
				// 同一過濾器下的回撥資訊
				while (IRP_MJ_OPERATION_END != pFltOperationRegistration->MajorFunction)
				{
					if (IRP_MJ_MAXIMUM_FUNCTION > pFltOperationRegistration->MajorFunction)
					{
						// 顯示
						DbgPrint("Filter: %p | IRP: %d | PreFunc: 0x%p | PostFunc=0x%p \n", ppFilterList[i], pFltOperationRegistration->MajorFunction,
							pFltOperationRegistration->PreOperation, pFltOperationRegistration->PostOperation);
					}

					// 獲取下一個訊息回撥資訊
					pFltOperationRegistration = (PFLT_OPERATION_REGISTRATION)((PUCHAR)pFltOperationRegistration + sizeof(FLT_OPERATION_REGISTRATION));
				}
			}
			__except (EXCEPTION_EXECUTE_HANDLER)
			{
			}
		}
	}
	__except (EXCEPTION_EXECUTE_HANDLER)
	{
	}

	// 釋放記憶體
	ExFreePool(ppFilterList);
	ppFilterList = NULL;

	return status;
}

執行程式碼輸出列舉效果如下：