发现File System Minifilter的一处问题

这两天有个朋友一直问我用用户普通权限连接minifilter server port的问题。给他解答的同时,也发现了这个方面的一个问题。首先说用普通用户权限连接port的方法,其实就是设置FltCreateCommunicationPort参数里ObjectAttributes的SecurityDescriptor,加入everyone的ACE就行了。那么加入everyone的ace你就要指定一个ACCESS_MASK,在MSDN里,介绍了两个可以使用的MASK

20150326155009

其中FLT_PORT_CONNECT=1,FLT_PORT_ALL_ACCESS=1F0001。看到这里,多数人都可能会认为如果只想让everyone连接上去,不给他所用权限,那么在这个ACE里加入FLT_PORT_CONNECT就可以了。然后就掉到微软的坑里了,和我那个朋友一样:)。

20150326154028

实际上指定FLT_PORT_CONNECT会让R3的程序无法连接驱动的port,原因就是FilterConnectCommunicationPort函数没有让你指定你需求的ACCESS,而是在底层打开port的时候直接请求FLT_PORT_ALL_ACCESS。这个时候如果你的ACE里面是FLT_PORT_CONNECT,那当然无法连接上去了。所以这里把ACE里的ACCESS_MASK设置为FLT_PORT_ALL_ACCESS就行了。

NTInternalsTips

Windbg查看Object Hook的脚本

学好Windbg,基本上可以代替很多工具,这次分享一个查看Object Hook的脚本:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
r @$t0 = 2;
r? @$t1 = ((nt!_OBJECT_TYPE**)@@(nt!ObTypeIndexTable))[@$t0];
.while ((@$t1 & 0xffffffff) != 0) {
.printf "Type Name:%-20msu\t", @@C++(&@$t1->Name);
.printf /D "detail\n", @$t1;
.printf "DumpProcedure : %y\n", @@C++(@$t1->TypeInfo.DumpProcedure);
.printf "OpenProcedure : %y\n", @@C++(@$t1->TypeInfo.OpenProcedure);
.printf "CloseProcedure : %y\n", @@C++(@$t1->TypeInfo.CloseProcedure);
.printf "DeleteProcedure : %y\n", @@C++(@$t1->TypeInfo.DeleteProcedure);
.printf "ParseProcedure : %y\n", @@C++(@$t1->TypeInfo.ParseProcedure);
.printf "SecurityProcedure : %y\n", @@C++(@$t1->TypeInfo.SecurityProcedure);
.printf "QueryNameProcedure : %y\n", @@C++(@$t1->TypeInfo.QueryNameProcedure);
.printf "OkayToCloseProcedure : %y\n\n", @@C++(@$t1->TypeInfo.OkayToCloseProcedure);
r @$t0 = @$t0 + 1;
r? @$t1 = ((nt!_OBJECT_TYPE**)@@(nt!ObTypeIndexTable))[@$t0];
};

20150324095806

Tips

一个解析INI文件的类

虽然微软强烈推荐用注册表代替ini来记录软件配置,但是由于写ini文件的方便性和可读性的优势,还是让很多程序员选择把配置记录到ini文件中。但是用Windows API操作ini文件有个缺点,就是每次调用如GetPrivateProfileInt,WritePrivateProfileString等函数,都会产生一次文件打开关闭以及读写操作,并且对ini文件重新解析,这是非常低效的。所以如果需要大量的操作ini文件,例如需要读取很多配置信息以启动软件,那么这样的用法无疑会增加软件的冷启动时间。为了解决这个问题,我们就需要自己写一个模块,他能够一次性读取并且解析好ini文件。在需要读取的时候直接从内存读取,需要些的时候先全部写到内存里,最后在刷新到文件上。所以我写了一个ParseIni的类,来完成这个工作。代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
#ifndef __PARSE_INI_H__
#define __PARSE_INI_H__
#include <vector>
#include <string>
#include <fstream>
#include <windows.h>
#define INI_KEY_LINE 1
#define INI_SECTION_LINE 2
#define INI_COMMENT_LINE 3
#define INI_NC_KEY_LINE 4
#define INI_WORNG_SYNTAX 0
using namespace std;
class CParseIniA {
public:
CParseIniA() {}
~CParseIniA() {}
BOOL Open(const string &IniPath;, BOOL OpenAlways = TRUE);
vector EnumSectionNames();
vector EnumKeyNamesInSection(const string &SectionName;);
string GetSectionKeyValue(const string &SectionName;, const string &KeyName;, const string &DefaultValue;);
int GetSectionKeyValueInt(const string &SectionName;, const string &KeyName;, int DefaultValue);
BOOL SetSectionKeyValueInt(const string &SectionName;, const string &KeyName;, int value, BOOL CreateNew = TRUE);
BOOL SetSectionKeyValue(const string &SectionName;, const string &KeyName;, const string &Value;, BOOL CreateNew = TRUE);
BOOL Flush();
VOID Close();
private:
ULONG SyntaxCheck(const string &KeyLine;);
vector::iterator CreateSection(const string &SectionName;);
VOID CreateKeyValue(vector::iterator it, const string &KeyName;, const string &Value;);
BOOL IsSection(string &Line;);
BOOL SetKeyValue(string &Line;, const string &Value;);
string GetKeyValue(string &Line;);
string GetSectionName(string &Line;);
string GetKeyName(string &Line;);
string trim(const string& s ,const string& drop = " ");
vector m_IniContext;
string m_IniPath;
};
inline BOOL CParseIniA::Open( const string &IniPath;, BOOL OpenAlways)
{
ifstream IniFile(IniPath.c_str());
INT FileSize;
vector::iterator it;
if (!IniFile.is_open()) {
if (!OpenAlways) {
return FALSE;
}
m_IniPath = IniPath;
return TRUE;
}
m_IniPath = IniPath;
IniFile.seekg(0, std::ios_base::end);
FileSize = IniFile.tellg();
IniFile.seekg(0, std::ios_base::beg);
if (FileSize == 0) {
return TRUE;
}
while (IniFile) {
string IniLine;
getline(IniFile, IniLine);
m_IniContext.push_back(IniLine);
}
it = m_IniContext.end();
it--;
while (trim(*it).empty()) {
m_IniContext.pop_back();
it = m_IniContext.end();
it--;
}
return TRUE;
}
inline BOOL CParseIniA::IsSection( string &Line; )
{
string SectionLine = trim(Line);
BOOL Ret = FALSE;
if (SectionLine[0] == '[' && SectionLine[SectionLine.length() - 1] == ']') {
Ret = TRUE;
}
return Ret;
}
inline vector CParseIniA::EnumSectionNames()
{
vector SectionNames;
vector::iterator it;
for (it = m_IniContext.begin(); it != m_IniContext.end(); ++it) {
if (IsSection(*it)) {
SectionNames.push_back(GetSectionName(*it));
}
}
return SectionNames;
}
inline vector CParseIniA::EnumKeyNamesInSection(const string &SectionName; )
{
vector::iterator it;
vector KeyNames;
ULONG ScanState = 0;
for (it = m_IniContext.begin(); it != m_IniContext.end(); ++it) {
if (ScanState == 0) {
if (!IsSection(*it) || GetSectionName(*it) != SectionName) {
continue;
}
ScanState = 1;
}
else if (ScanState == 1) {
if (IsSection(*it)) {
break;
}
KeyNames.push_back(GetKeyName(*it));
}
}
return KeyNames;
}
inline string CParseIniA::GetSectionName( string &Line; )
{
INT Count = Line.length();
INT i;
BOOL Start = FALSE;
string SectionName;
for (i = 0; i < Count; i++) {
if (Line[i] == '[') {
Start = TRUE;
}
else if (Line[i] == ']') {
if (Start) {
break;
}
}
else {
if (Start) {
SectionName += Line[i];
continue;
}
}
}
return SectionName;
}
inline string CParseIniA::GetKeyName( string &Line; )
{
string KeyName;
KeyName = Line.substr(0, Line.find_first_of('='));
return trim(KeyName);
}
inline string CParseIniA::trim(const string& s, const string& drop)
{
string t(s);
string r = t.erase(t.find_last_not_of(drop) + 1);
return r.erase(0,r.find_first_not_of(drop));
}
inline int CParseIniA::GetSectionKeyValueInt( const string &SectionName;, const string &KeyName;, int DefaultValue )
{
char DefaultValueString[32] = {0};
sprintf_s(DefaultValueString, "%d", DefaultValue);
string ValueString = GetSectionKeyValue(SectionName, KeyName, DefaultValueString);
return atoi(ValueString.c_str());
}
inline string CParseIniA::GetSectionKeyValue(const string &SectionName;, const string &KeyName;, const string &DefaultValue; )
{
vector::iterator it;
ULONG ScanState = 0;
string Value = DefaultValue;
for (it = m_IniContext.begin(); it != m_IniContext.end(); ++it) {
if (ScanState == 0) {
if (!IsSection(*it) || GetSectionName(*it) != SectionName) {
continue;
}
ScanState = 1;
}
else if (ScanState == 1) {
if (IsSection(*it)) {
break;
}
if (SyntaxCheck(*it) != INI_KEY_LINE) {
continue;
}
if (GetKeyName(*it) == KeyName) {
Value = GetKeyValue(*it);
}
}
}
return Value;
}
inline string CParseIniA::GetKeyValue( string &Line; )
{
string KeyName;
KeyName = Line.substr(Line.find_first_of('=') + 1);
return trim(KeyName);
}
inline BOOL CParseIniA::SetKeyValue( string &Line;, const string &Value; )
{
INT Pos = Line.find_first_of('=');
if (Pos == string::npos) {
return FALSE;
}
Pos = Line.find_first_not_of(' ', Pos + 1);
if (Pos == string::npos) {
Pos = Line.find_first_of('=') + 1;
}
Line.erase(Pos);
Line += Value;
return TRUE;
}
inline BOOL CParseIniA::SetSectionKeyValueInt( const string &SectionName;, const string &KeyName;, int Value, BOOL CreateNew /*= TRUE*/ )
{
char ValueString[32] = {0};
sprintf_s(ValueString, "%d", Value);
return SetSectionKeyValue(SectionName, KeyName, ValueString, CreateNew);
}
inline BOOL CParseIniA::SetSectionKeyValue( const string &SectionName;, const string &KeyName;, const string &Value;, BOOL CreateNew )
{
vector::iterator it;
ULONG ScanState = 0;
BOOL Ret = FALSE;
for (it = m_IniContext.begin(); it != m_IniContext.end(); ++it) {
if (ScanState == 0) {
if (!IsSection(*it) || GetSectionName(*it) != SectionName) {
continue;
}
ScanState = 1;
}
else if (ScanState == 1) {
if (IsSection(*it)) {
break;
}
if (SyntaxCheck(*it) == INI_KEY_LINE || SyntaxCheck(*it) == INI_NC_KEY_LINE) {
if (GetKeyName(*it) == KeyName) {
Ret = SetKeyValue(*it, Value);
}
}
}
}
if (CreateNew && !Ret) {
if (ScanState == 0) {
it = CreateSection(SectionName);
CreateKeyValue(it, KeyName, Value);
}
else if (ScanState == 1) {
it--;
CreateKeyValue(it, KeyName, Value);
}
Ret = TRUE;
}
return Ret;
}
inline BOOL CParseIniA::Flush()
{
ofstream IniFile(m_IniPath.c_str());
vector::iterator it;
if (!IniFile.is_open()) {
return FALSE;
}
for (it = m_IniContext.begin(); it != m_IniContext.end(); ++it) {
IniFile << it->c_str() << endl;
}
return TRUE;
}
inline VOID CParseIniA::Close()
{
}
inline vector::iterator CParseIniA::CreateSection( const string &SectionName; )
{
string FullSectionName;
vector::iterator it;
FullSectionName += '[';
FullSectionName += SectionName;
FullSectionName += ']';
m_IniContext.push_back(FullSectionName);
it = m_IniContext.begin() + m_IniContext.size() - 1;
return it;
}
inline VOID CParseIniA::CreateKeyValue( vector::iterator it, const string &KeyName;, const string &Value; )
{
string KeyInfo;
KeyInfo += KeyName;
KeyInfo += " = ";
KeyInfo += Value;
while (it != m_IniContext.begin()) {
if (!trim(*it).empty()) {
break;
}
it--;
}
m_IniContext.insert(it + 1, KeyInfo);
}
inline ULONG CParseIniA::SyntaxCheck( const string &KeyLine; )
{
string Line = trim(KeyLine);
INT Pos, CommentPos1, CommentPos2;
string KeyName;
string Value;
if (IsSection(Line)) {
return INI_SECTION_LINE;
}
else if (Line[0] == ';' || Line[0] == '#') {
return INI_COMMENT_LINE;
}
else {
Pos = Line.find_first_of('=');
if (string::npos == Pos) {
return INI_WORNG_SYNTAX;
}
KeyName = trim(Line.substr(0, Pos));
if (KeyName.empty()) {
return INI_WORNG_SYNTAX;
}
Value = trim(Line.substr(Pos + 1));
if (Value.empty()) {
return INI_NC_KEY_LINE;
}
CommentPos1 = Value.find_first_of(';');
CommentPos2 = Value.find_first_of('#');
if (CommentPos1 == string::npos && CommentPos2 == string::npos) {
return INI_KEY_LINE;
}
CommentPos1 = CommentPos1 < CommentPos2 ? CommentPos1 : CommentPos2;
if (Value.erase(CommentPos1).empty()) {
return INI_NC_KEY_LINE;
}
return INI_KEY_LINE;
}
}
#endif

Tips