Windows内核安全编程03 .pdfVIP

第3章串口的过滤

3.1过滤的概念

35

3.2获得实际数据41

3.3完整的代码44

第3章串口的过滤

3.1过滤的概念

有的公司采用技术手段禁止员工使用U盘，是为了防止员工通过U盘将敏感数据

带出公司，本质上是禁止敏感数据通过USB接口流出。USB接口比较复杂。本章讨论

一个类似但是简单得多的设备：串口。要禁止使用串口非常容易（给串口贴上封条，或

者写一个简单的程序始终占用串口），但是要区别处理，允许非机密数据流出，而禁止

机密数据；或者要记录串口上流过的数据，然而又不影响其他的程序使用串口，就有一

定难度了。这一章中，我们通过给串口设备增加一个过滤层来实现这个功能。

而下一章中，我们则把目标转移到键盘，除了过滤之外，我们将进一步探讨是否有

方法保证从键盘输入的密码不被隐藏的黑客软件通过类似的过滤方式截取。

在Windows系统上与安全软件相关的驱动开发过程中，“过滤”（filter）是极其重

要的一个概念。过滤是在不影响上层和下层接口的情况下，在Windows系统内核中加

入新的层，从而不需要修改上层的软件或者下层的真实驱动程序，就加入了新的功能。

举一个比较容易理解的例子：实时监控的反病毒程序。任何高层软件或者Windows

的文件系统都没有考虑过应该什么时候去检查文件中是否含有某个病毒的特征码，实际

上也不应该要求某个软件或者Windows的文件系统去考虑这些。反病毒程序需要在不

改变文件系统的上层和下层接口的情况下，在中间加入一个过滤层，这样就可以在上层

软件读取文件、下层驱动提供数据时，对这些数据进行扫描，看其中是否含有某个病毒

的特征码。这是一个很典型的过滤过程。

本章之所以从串口过滤出发，是因为串口在Windows中是非常简单的设备。对一

个安全软件来说，串口过滤似乎没有什么意义。不过有一些特殊场合的计算机，要求防

止“信息外泄”，或者需要知道“哪些信息外泄”了。除了网络和可移动存储设备之外，

有时串口也在考虑的范围之内。

此外，使用这种方法也可以绑定键盘，从而截获用户的击键。

3.1.1设备绑定的内核API之一

进行过滤的最主要的方法是对一个设备对象（DeviceObject）进行绑定。读者可以

想象，Windows系统之所以可以运作，是因为Windows中已经存在许多提供了各种功

能的设备对象。这些设备对象接收请求，并完成实际硬件的功能。

我们可以首先认为：一个真实的设备对应一个设备对象（虽然实际对应关系可能复

杂得多）。通过编程可以生成一个虚拟的设备对象，并“绑定”（Attach）在一个真实的

设备上。一旦绑定，则本来操作系统发送给真实设备的请求，就会首先发送到这个虚拟

35

寒江独钓——Windows内核安全编程

设备。

下面结合代码进行讲解。读者可能希望编译执行这些代码，驱动的初学者请先阅读

附录A、B、C，以便学会如何安装开发环境、编译代码和调试程序。

在WDK中，有多个内核API能实现绑定功能。下面是其中一个函数的原型：

NTSTATUS

IoAttachDevice(

INPDEVICE_OBJECTSourceDevice,

INPUNICODE_STRINGTargetDevice,

OUTPDEVICE_OBJECT*AttachedDevice