共享我写的：本地目录的只读控制（禁止写、删除、新建））

2005.4.26

几句废话：
这是我在驱网发的第二篇文章，第一篇是关于利用过滤驱动将U盘设置为只读的。
这篇是利用文件系统过滤驱动将一个目录（本地硬盘）设置为只读，包括禁止修改
文件，禁止删除文件，禁止新建文件等。 我最终的目的是想实现 利用文件过滤驱动
将任意盘（包括移动，A等）设置为只读。因此我的路还很长，还需要各位的帮助。

正文：
0 准备工作：
  由于是对文件、目录的拦截。首先要知道如何得到路径、文件名、盘符等等。否则
你没有办法去做判断。我使用IFS 中的sfilter修改。因此没有filemon那样有直接的
函数取得。
  在驱动中取得盘符和路径是分开的。取得盘符使用RtlVolumeDeviceToDosName (file->DeviceObject,&dosname); 取得路径的方法是：
  irpSp = IoGetCurrentIrpStackLocation( Irp );
  file = irpSp->FileObject;
  RtlCopyUnicodeString(&name,&file->FileName);
  DbgPrint(\"%ws\",(&name)->Buffer);// 这个地方直接用name.Buffer什么也打印不出来，奇怪
  但是这里要注意的是并不是每一个IRP中的irpSp->FileObject都有，很多时候是NULL。这个值有
文件系统来填写。所以在取路径前一定要做相应的判断，否则会蓝屏。

1 禁止访问目录：
  实现禁止访问目录是比较简单的，有很多的方法。我是在IRP_MJ_DIRECTORY_CONTROL
中判断是不是要禁止的目录，然后拦截。拦截的操作我就不多说了，基本一样：
Irp->IoStatus.Status = STATUS_ACCESS_DENIED;
Irp->IoStatus.Information = 0;
status = Irp->IoStatus.Status;
IoCompleteRequest(Irp, IO_NO_INCREMENT);
return status;

2 设置目录为只读
  由于禁止目录访问的方法很容易，所以很容易让人觉得禁止写是不是就是在IRP_MJ_WRITE中
判断目录路径然后直接拦截了。我测试后发现不能这样实现，论坛上的人告我将目录设置为只读
实际上是把目录下所有文件设置为只读，即有一目录C:\\Jason你想设置为只读，实际的操作是：
对于该目录下任一文件xx.xx，当该文件想进行写的时候，驱动会得到路径\\Jason\\xx.xx，此时
判断文件的父目录是不是\\Jason并拦截之，即可实现\\Jaosn\\xx.xx的只读控制。
   到目前我实现就是使用这样的方法，是不是可以直接对目录进行拦截，我不知道。

   有了这个概念，还需要一些技巧去实现。主要是在实现父目录匹配的字符串比较上。这个调
试一下就可以解决了。

3 禁止删除
  禁止删除也还算简单，但是如果你象我一样是一个人瞎搞，也许不会知道这个方法。在此感谢
joshua_yu 告诉我这个方法。
  在IRP_MJ_SET_INFORMATION中，
  PIO_STACK_LOCATION     irpSp = IoGetCurrentIrpStackLocation(Irp);
  irpSp->Parameters.SetFile.FileInformationClass == FileDispositionInformation
  核心的就是判断irpSp->Parameters.SetFile.FileInformationClass 是不是等于
FileDispositionInformation。
  但是我一直很奇怪就是这些技术我怎么没有看到，而别人看的到？看的什么资料？？


4 禁止创建文件
  这里主要就是要区别一下新建文件和打开文件。对于这个过程，joshua_yu有他自己的理解：
“我是这样认为的：
当我们调用CreateFile并且希望创建一个文件的时候，系统会首先发送一个标志为FILE_OPEN的请求，并且判断底层文件系统的返回值，如果返回成功，则表明文件存在并且已经成功打开，否则如果返回结果是NO SUCH FILE，则紧接着创建一个FILE_OPEN_IF请求，得以将文件创建，所以如果我们在Create的Options当中发现了FILE_CREATE，FILE_OPEN_IF和FILE_OVERWRITE_IF三个标志，则表明一定是在创建而不是打开。”

原理就是这样，代码实现我是这样做的：
CreateDisposition = (irpSp->Parameters.Create.Options>> 24) & 0x000000ff;
if(CreateDisposition==FILE_CREATE||CreateDisposition==FILE_OPEN_IF
||CreateDisposition==FILE_OVERWRITE_IF)
{
DbgPrint(\"It is a CREATE FILE operation\\n\");
Irp->IoStatus.Status = STATUS_ACCESS_DENIED;
Irp->IoStatus.Information = 0;
status = Irp->IoStatus.Status;
IoCompleteRequest(Irp, IO_NO_INCREMENT);
return status;
}


5 一些其他问题：
  由于这个是一点一点改好的，所以我能想到的主要技术就是这么多了。如果有问题，请和我交流
zhjie374@hotmail.com

  顺便问个问题：移动设备动态插拔我怎么才能拦截到它的IRP？

6 最后还是要说一句： 本人毕业于排名300开外的大学，水平有限，有错误之处请各位批评指正。

Jason Zhang   SCT_SH  2005.4.26
  

补充一下：
上面删除其实不用这么细致。直接拦截对应目录的SET_INFERMATION
即可。这样删除、文件属性修改就全部禁止了。

设置目录为只读:
I don\'t think IRP_MJ_WRITE is the place. You should do it in MJ_CREATE.

READ ONLY means you cannot create new file, you cannot open file for write/append/truncate.

you cannot open file for write/append/truncate

只读，我认为目录下的文件是可以读的。否则你拒绝用户访问目录好了

如何禁止复制,粘贴操作??

我昨天在群里面也问了，如何能禁止把目录下的文件复制出去。

他们说不可能。

但是我想要复杂实现也可以，就是先把目录下文件名建个表。然后新建立文件的时候看是不是和这些名字一样，然后去拦截。好象想法比较幼稚。。

而且这样。还不如在应用层屏蔽复制操作。比如HOOK一些按键。
隐藏一些菜单项

\"只读，我认为目录下的文件是可以读的。否则你拒绝用户访问目录好了\"

If you only disable MJ_WRITE, how can you prevent user from creating new files???

Again READ ONLY means you cannot create new file, you cannot open file for write/append/truncate.A user can open a file for read only.



[编辑 -  4/28/05 by  michaelgz]

Create new file is blocked in IRP_MJ_CREATE.

Please read it carefully,OK?

I read your original post again.

You did mentioned blocking creating new files in MJ_CREATE (you didn\'t mention it in section \"设置目录为只读\"). But still the problem is you are not blocking users from opening file for update/append/truncate.

For example, if a user opens a file for overwrite, the file size will be truncated to zero. There\'s no MJ_WRITE involved when a file is truncated at this moment. So your solution is still not correct. Since you\'ve already do something in MJ_CREATE, why not do something more in the same place.

Also there\'s different error messages returned to client by blocking MJ_WRITE and blocking MJ_CREATE.Access denied by CREATE is more appropriate than write error.

To me READ ONLY means a file can only be opened for read. So I still insist that to make a file read only, do it in MJ_CREATE.





[编辑 -  4/29/05 by  michaelgz]

关于禁止删除,可能不只IRP_MJ_SETINFORMATION这一条途径,IRP_MJ_CREATE 的irpStack->Parameters.Create.Options带有
FILE_DELETE_ON_CLOSE时,IRP_MJ_CLOSE以后,也会删除文件

还有一个问题,可以把文件从被保护的目录移动到别的目录,然后再删除

不过有这样一片总结性的文章,还是挺好的

而且这样。还不如在应用层屏蔽复制操作。比如HOOK一些按键。
隐藏一些菜单项

我开一个cmd窗口,copy,del就防不住了,或者自己写个小程序,也防不住,还是在底层做合适

我昨天在群里面也问了，如何能禁止把目录下的文件复制出去。

他们说不可能。

但是我想要复杂实现也可以，就是先把目录下文件名建个表。然后新建立文件的时候看是不是和这些名字一样，然后去拦截。好象想法比较幼稚。。
 

复制无非是打开源文件,读源文件,在别的目录创建新文件,写新文件,如果阻值读源文件,那源文件就没有存在的意义了,不能读也不能写

有没有可能在读被保护目录下的源文件的时候,找一个或者几个特定的offset,存一部分数据,比如50个字节,在写目的文件的时候,对这些数据进行比较,如果全部一样,就认为是拷贝被保护的文件,直接禁止就性了

一个粗浅的想法,有时间我自己也试试

别的啥也不说了！，


谢谢嗬！~~

我也试试

我感觉5楼和11楼的想法也有点问题，不论是做在应用层还是做在底层，如果我在cmd里面用copy命令，还是可以完成拷贝，因为copy的源文件名和目的文件名是可以不一样的。

另外，我觉得在sfwrite里面通过拦截IRP_MJ_WRITE消息来达到只读效果还存在一个问题，那就是我不能再创建新的文件了，因为创建新文件的时候也要通过SfWrite。

if someone can read a file,and can also find somewhere to write,he must can copy the file.:)

其实也可以利用文件过滤驱动的HOOK技术实现只读控制,
切入点:
ZwCreateFile
ZwSetInformationFile

请问
这样实现目录的创建控制代码能跑么

引用:
4 禁止创建文件
这里主要就是要区别一下新建文件和打开文件。对于这个过程，joshua_yu有他自己的理解：
“我是这样认为的：
当我们调用CreateFile并且希望创建一个文件的时候，系统会首先发送一个标志为FILE_OPEN的请求，并且判断底层文件系统的返回值，如果返回成功，则表明文件存在并且已经成功打开，否则如果返回结果是NO SUCH FILE，则紧接着创建一个FILE_OPEN_IF请求，得以将文件创建，所以如果我们在Create的Options当中发现了FILE_CREATE，FILE_OPEN_IF和FILE_OVERWRITE_IF三个标志，则表明一定是在创建而不是打开。”

原理就是这样，代码实现我是这样做的：
CreateDisposition = (irpSp->Parameters.Create.Options>> 24) & 0x000000ff;
if(CreateDisposition==FILE_CREATE||CreateDisposition==FILE_OPEN_IF
||CreateDisposition==FILE_OVERWRITE_IF)
{
DbgPrint(\"It is a CREATE FILE operation\\n\");
Irp->IoStatus.Status = STATUS_ACCESS_DENIED;
Irp->IoStatus.Information = 0;
status = Irp->IoStatus.Status;
IoCompleteRequest(Irp, IO_NO_INCREMENT);
return status;
}

这样好像不行吧？
但CreateDisposition==FILE_CREATE的时候有可能是打开文件夹操作，还有这几个动作不是同一时间发生的。