数字驱动分析笔记之360SelfProtection详解

数字驱动分析笔记之360SelfProtection1 在 Windows 操作系统中，360SelfProtection 是一个防止访问保护路径的驱动程序，旨在保护系统免受恶意软件的攻击。下面是该驱动程序的详细分析： 1. 防止访问保护路径（杀软） 该驱动程序的主要功能是防止恶意软件访问保护路径，例如 //3600、//3600safe、//3600SafeBox 等。为了实现这一点，驱动程序使用了多种技术来检测和防止恶意软件的攻击。 2. 白名单进程访问直接放行（通用） 白名单进程是指已经被验证为安全的进程，这些进程可以直接访问保护路径，而不需要经过检测和防止。例如，zhudongfangyu.exe 和 Wininit.exe 等进程都是白名单进程。 3. 不合法性的文件句柄清零，错误返回 如果检测到恶意软件试图访问保护路径，驱动程序将清零该文件句柄，并返回错误信息，以防止恶意软件继续攻击。 4. 防止误伤过滤： 为了防止误伤过滤，驱动程序使用了多种技术，例如： * 使用 ExGetPreviousMode 函数来判断当前 PreviousMode 是否为 KernelMode，如果是直接返回 0。 * 判断当前进程 PID 是否为白名单进程（zhudongfangyu.exe 等）或则进程 PID 是 Wininit.exe，如果是直接返回 0。 5. 函数执行前判断： 在函数执行前，驱动程序将判断当前进程是否满足某些条件，如果不满足，则直接返回错误信息。 6. 函数执行后判断： 在函数执行后，驱动程序将判断该文件信息是否已经存在列表中，如果存在，则放行；否则，将进行二次检查。 7. Safe_GetInformationFile 函数功能： Safe_GetInformationFile 函数用于获取卷信息和文件唯一 ID 信息，该函数将过滤掉 Handle 不是 4 的倍数和特定文件设备类型。 8. Fake_ZwCreateFile 分区数字驱动分析笔记之 360SelfProtection 的第 2 页： Fake_ZwCreateFile 是一个关键函数，用于模拟 ZwCreateFile 函数的行为，该函数将被用于防止恶意软件攻击。 9. 永恒之蓝： 永恒之蓝是一个关键概念，指的是驱动程序的核心机制，旨在防止恶意软件攻击。 10. 额外学习到的知识： 在学习 360SelfProtection 驱动程序时，我们还可以学习到许多其他的知识，例如操作系统的安全机制、驱动程序的开发技术等。 11. 基础知识： 基础知识是指驱动程序的基本原理和机制，例如操作系统的架构、驱动程序的类型、驱动程序的开发技术等。 360SelfProtection 驱动程序是一个复杂的系统，旨在防止恶意软件攻击。该驱动程序使用了多种技术来检测和防止恶意软件的攻击，例如防止访问保护路径、白名单进程访问直接放行、不合法性的文件句柄清零等。