我目前正在进行的一个项目需要实现一个 w/m 复制机制,该机制将用于在 Windows XP 上以与 Deep Freeze 或 Sandboxie 类似的方式重定向磁盘 i/o。如果可以的话,我还希望能够“挂载”用户修改过的文件,类似于 VirtualCloneDrive 如何模拟磁盘驱动器并在其上透明地挂载 ISO 映像。
据我了解,此类程序使用微过滤器驱动程序来重定向 i/o 请求。标准流程将任何修改后的数据复制到辅助位置,然后读取/修改该存储以供后续访问该数据;所以我想我明白我需要在那里做什么。但是,在模拟 CD/DVD 驱动器并在其上安装映像时,我完全迷失了方向。
我一直在网上(谷歌、MSDN、代码项目等)和诸如使用 Windows 驱动程序基础和Windows NT 文件系统内部开发驱动程序:开发人员指南等书籍中寻找特定信息和示例(关于监视、拦截和重定向请求和创建环回设备)被证明是困难的。我对所涉及的技术还很陌生,所以我可能无法只见树木不见森林。
我想知道是否有人遇到过类似的情况并发现了任何有用的资源,或者可以为我指出正确的方向,以便我可以实现类似的功能。
编辑:我发现这个问题似乎是一个有用的资源(尽管不适用于我的特定用例),所以我将其链接到此处以添加到任何即将到来的回复中。
一些澄清:
我正在尝试创建一个程序,该程序允许用户安装和使用应用程序而无需管理权限。该程序将通过将任何文件系统/注册表修改保存到单独的存储区域(例如,笔式驱动器或网络存储上的文件)然后允许将这些修改集成到运行主机程序的任何桌面中来运行. 用 USB 笔随身携带您的桌面,将其插入,然后应用您的设置。
要重定向 I/O,我可以:
- 修补进程的导入地址表 (IAT) 以在应用程序级别插入自定义代码。
- 编写用户模式过滤器驱动程序以动态修改请求。
- 为了增强(实际上是)安全性,实现内核模式驱动程序以与 AV 软件类似的方式修补系统服务描述符表 (SSDT)。
这些方法中的每一种都有优点和缺点。例如,方法三比方法一困难得多。它提供了更高的安全性,但即便如此,它也可以被击败(理论攻击自 96 年以来一直存在,实际攻击自 07 年以来一直存在。)
我最初是在考虑特定的安全功能(而不是类似于WoW64 兼容性设置的 i/o 重定向);但是自从开始研究这个问题以来,我记得你不能永远保护用户免受自己的伤害,而且无论我为保护主机系统免受恶意进程或愚蠢用户的攻击付出了多少努力,它都可能被击败(或更有可能我会犯错误。)我还决定避免重新发明沙盒和防病毒轮子,而只专注于创建一些有用的功能。“一个工具应该做好一项工作,把它做好”的理念赢得了胜利。
简而言之,我要做的就是实现类似于 VM 快照的功能,并将更改重定向到我自己的存储区域。下图有点过时了,但它可能比我现在更能传达我的意图:-)
