360Safe驱动学习笔记和实现源码

麻辣鸡翅

参考文档：
1、发一个可编译，可更换的hookport代码
网址：https://bbs.pediy.com/thread-157472.htm
2、腾讯管家攻防驱动分析-TsFltMgr
网址：https://www.jianshu.com/p/718dd8a1dd27
3、总结一把，较为精确判断SCM加载
网址：https://bbs.pediy.com/thread-135988.htm

资料代码：
https://github.com/WINGS2709/360Safe

环境：
编译器：VS2013 + WDK8.1
版本：Win7（32位）
中断：sxe ld XXXXX.sys + lmvm XXXXX

驱动使用：
先加载HookPort再加载SelfProtection


媒介：
1、HookPort看achillis分析即可，新旧版本区别在于新增两个地方：INT 4中断、过滤函数的优化（感爱好的单独处理，不感爱好的通用Hook框架）  
2、SelfProtection实现对应的Fake函数模板然后再返回给HookPort执行  
3、SelfProtection绝大部分原理翻看MJ0011和V校帖子基本有解答
4、简单先容下HookPort和SelfProtection流程，详细实现看附件  
5、有错误欢迎大家告诉我  
6、建议用OneNote打开附件  
7、项目仅供参考，代码自己都快忘记了  
8、代码ShaodwSSDT部分有BUG，SSDT只分析了感爱好的部分。许多嫌麻烦就没看了  

原理先容：
1、Hook前后对比图

理论上我们是可以有无数个SelfProtectionX，但是大数字最大限制16个
Hook模板布局如下（单向链表布局）：

原始CreateProcess->KiFastCallEntry->Filter_CreateProcess代{过}{滤}理函数->HookPort_DoFilter
循环将链表中所有Fake函数取出来并执行，直到链表下一个为零终止
必须全部所有Fake函数合法返回才算正确，此中一个返回错误都算错误

大抵原理：
Fake_ZwAlpcSendWaitReceivePort获取真实的PID（这个技术好像是360在2011年左右提出来的理论）

设置完毕，我们先加载HookPort 然后加载 SelfProtection，我们随意加载一个驱动。