首页
论坛
课程
招聘
[原创]关于USB管控的方案,某某USB管控逆向分析
2022-9-7 19:58 7841

[原创]关于USB管控的方案,某某USB管控逆向分析

2022-9-7 19:58
7841

USB管控的研究

为什么要研究这个?

同志们好哇,好久不见,我再更新一些干货给你们,至于为什么要研究这个?肯定是自己做DLP产品,自己的产品能优化就要偷学一下别人的思路,我自己目前是二种思路,一种是内核层的管控(minifilter,附加过滤设备,KMDF)这种管控,我们想一想尽量能用应用层解决还是通过应用层进行解决,我们今天主要是讲一下应用层进行USB管控的思路。

怎么发现这个思路的?

这还用问吗,之前我也想通过驱动层,直接禁用设备之类的,可惜哇,怪我太菜了,各种驱动写完了,GITHUB上找了一堆代码都不行,妈的生气,看看市面上有什么USB的管控软件,没想到哇,还真就是找到了一个可以用的软件,也没有用什么驱动,直接打开我们的IDA分析一下。

分析的思路

我们如何找到分析的要点,我们首先就先了解一下,WINDOWS 设备相关操作的API,链接我也贴上来了微软链接,我们首先通过SetupDiGetClassDevsW这个函数来寻找一下调用,看看人家软件是怎么操作的,直接抄袭之就可以了,
图片描述
如图所示,就是函数的大概直接流程 获取设备的信息,由于是USB存储设备的管控,我们主要就是获取DISK信息, 然后枚举我们的设备信息,CM_Get_Device_IDW函数来获取USB存储的父对象,在通过CM_Get_DevNode_Status函数来获取USB存储设备的状态,如果状态是被禁用,就不进行下面的处理,
图片描述
最后通过这SetupDiSetClassInstallParamsW,SetupDiCallClassInstaller,来进行设备的禁用,可是我不太理解,它为什么用0X12这个DIF_ALLOWINSTALL,没有进行动态的分析,不太理解它设置了什么状态,因此我采用的是网上通用的禁用或者启动设备,链接在此

我写的不完整的代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
// ListDevice.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//
 
#include <iostream>
#include<windows.h>
#include<setupapi.h>
#include<Devguid.h>
#include<cfgmgr32.h>
#pragma comment(lib,"SetupAPI.lib")
 
int enum_usb_device_info()
{
    int i = 0;
    int res = 0;
    HDEVINFO hDevInfo;
    SP_DEVINFO_DATA DeviceInfoData = { sizeof(DeviceInfoData) };
 
    // get device class information handle
    hDevInfo = SetupDiGetClassDevs(&GUID_DEVCLASS_DISKDRIVE, 0, 0, DIGCF_PRESENT );
    if (hDevInfo == INVALID_HANDLE_VALUE)
    {
        res = GetLastError();
        return res;
    }
 
    // enumerute device information
    DWORD required_size = 0;
    for (i = 0; SetupDiEnumDeviceInfo(hDevInfo, i, &DeviceInfoData); i++)
    {
        DWORD DataT;
        char friendly_name[2046] = { 0 };
        DWORD buffersize = 2046;
        DWORD req_bufsize = 0;
        char DeviceBuf[4096] = { 0 };
        char DeviceParent[4096] = { 0 };
        auto res=CM_Get_Device_IDA(DeviceInfoData.DevInst, DeviceBuf, 4096, 0);
        if (!res)
        {
            DEVNODE pdnDevInst = 0;
            CM_Get_Parent(&pdnDevInst, DeviceInfoData.DevInst, 0);
            CM_Get_Device_IDA(pdnDevInst, DeviceParent, 4096, 0);
            if (strstr(DeviceParent,"USB")!=nullptr)
            {
 
                ULONG    pulStatus = 0;
                ULONG    pulProblemNumber = 0;
                res = CM_Get_DevNode_Status(&pulStatus, &pulProblemNumber, pdnDevInst, 0);
                if(!res)
                {
                    SP_PROPCHANGE_PARAMS propChange = { sizeof(SP_CLASSINSTALL_HEADER) };
                    propChange.ClassInstallHeader.InstallFunction = DIF_PROPERTYCHANGE;
                    propChange.Scope = DICS_FLAG_GLOBAL;
                    propChange.StateChange = DICS_DISABLE;
 
                    res = SetupDiSetClassInstallParams
                    (
                        hDevInfo,
                        &DeviceInfoData,
                        (SP_CLASSINSTALL_HEADER*)&propChange,
                        sizeof(propChange)
                    );
 
 
                    SetupDiCallClassInstaller(DIF_PROPERTYCHANGE, hDevInfo, &DeviceInfoData);
                }
            }
        }
        // get device description information
        if (!SetupDiGetDeviceRegistryPropertyA(hDevInfo, &DeviceInfoData, SPDRP_SERVICE, &DataT, (LPBYTE)friendly_name, buffersize, &req_bufsize))
        {
            res = GetLastError();
            continue;
        }
 
        char temp[512] = { 0 };
        sprintf_s(temp, 512, "USB device %d: %s", i, friendly_name);
        puts(temp);
    }
 
    return 0;
}
 
int main()
{
    enum_usb_device_info();
    std::cout << "Hello World!\n";
}

写在最后

剩下来的就是完善代码,管控1394等设备端口的代码了,马上中秋了,祝大家中秋快乐,最后,让一切归于平静!


看雪2022 KCTF 秋季赛 防守篇规则,征题截止日期11月12日!(iPhone 14等你拿!)

最后于 2022-9-7 20:21 被lwl编辑 ,原因:
收藏
点赞9
打赏
分享
最新回复 (19)
雪    币: 440
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
寒山暮蝉 活跃值 2022-9-7 20:32
2
0
向大佬学习
雪    币: 3829
活跃值: 活跃值 (4702)
能力值: ( LV7,RANK:115 )
在线值:
发帖
回帖
粉丝
独钓者OW 活跃值 2 2022-9-7 20:56
3
0
雪    币: 2933
活跃值: 活跃值 (2217)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
caolinkai 活跃值 2022-9-9 14:43
4
0
感谢分享
雪    币: 223
活跃值: 活跃值 (1097)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wx_0xC05StackOver 活跃值 2022-9-9 14:53
5
1
我教你个更骚操作的usb管控 ,在注册表的usb磁盘过滤驱动上构造一个根本不存在的lowerfilter,然后构建设备树的时候这个设备回应魏这个不存在的lowerfilter过滤驱动导致根本无法正常工作,然后usb就不能正常用了,大概就是这个思路三年前我在某个安全公司要实现这个管控功能的时候就这么做的,因为当时不止usb还要1394,pnp各种巴拉巴拉的设备管控,一个个写过滤驱动太麻烦了公司就我一个人搞这个,还要一周搞完投标,就找了市面上某个知名准入系统的方案来逆向抄过来的这个思路,当然1394 ,串口这些用了这个方法,usb我还是用minifilter单独重写的
雪    币: 1134
活跃值: 活跃值 (816)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
caocaofff 活跃值 2022-9-13 15:17
6
0
如果仅仅想禁用U盘,可以直接通过修改注册表实现的
雪    币: 2815
活跃值: 活跃值 (1979)
能力值: ( LV13,RANK:240 )
在线值:
发帖
回帖
粉丝
IamHuskar 活跃值 4 2022-9-13 16:01
7
0
现在还做DLP 不担心49年入了国军吗?
雪    币: 0
活跃值: 活跃值 (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
talfsapce 活跃值 2022-9-13 16:19
8
0
wx_0xC05StackOver 我教你个更骚操作的usb管控 ,在注册表的usb磁盘过滤驱动上构造一个根本不存在的lowerfilter,然后构建设备树的时候这个设备回应魏这个不存在的lowerfilter过滤驱动导致根本无法正常工 ...
朴实无华
雪    币: 4406
活跃值: 活跃值 (581)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
shuyangzjg 活跃值 2022-9-13 17:05
9
0
优盘 做弹出比禁用成功率更高,场景中打磨出来的
雪    币: 441
活跃值: 活跃值 (819)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
lwl 活跃值 2022-9-14 09:58
10
0
wx_0xC05StackOver 我教你个更骚操作的usb管控 ,在注册表的usb磁盘过滤驱动上构造一个根本不存在的lowerfilter,然后构建设备树的时候这个设备回应魏这个不存在的lowerfilter过滤驱动导致根本无法正常工 ...
学到了学到了
雪    币: 441
活跃值: 活跃值 (819)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
lwl 活跃值 2022-9-14 09:58
11
0
caocaofff 如果仅仅想禁用U盘,可以直接通过修改注册表实现的
有的WIN10系统注册表无效
雪    币: 223
活跃值: 活跃值 (1097)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wx_0xC05StackOver 活跃值 2022-9-14 10:45
12
0
IamHuskar 现在还做DLP 不担心49年入了国军吗?
数据安全法实施之后 dlp和透明加解密已经迎来了第二春
雪    币: 1974
活跃值: 活跃值 (1592)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
gamehack 活跃值 2022-9-14 10:47
13
0
感谢分享!
雪    币: 922
活跃值: 活跃值 (1561)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
方向感 活跃值 2022-9-14 13:05
14
0
发现优盘插入,直接弹出
雪    币: 285
活跃值: 活跃值 (226)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
jackbow 活跃值 2022-9-14 17:26
15
0
学习了,谢谢大佬
雪    币: 1523
活跃值: 活跃值 (1422)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
fengyunabc 活跃值 1 2022-9-15 12:24
16
0
感谢分享!
雪    币: 1523
活跃值: 活跃值 (1422)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
fengyunabc 活跃值 1 2022-9-15 12:30
17
0

朴实无华!

最后于 2022-9-15 12:31 被fengyunabc编辑 ,原因:
雪    币: 202
活跃值: 活跃值 (241)
能力值: ( LV4,RANK:41 )
在线值:
发帖
回帖
粉丝
18
0
害,我就是用的sfilter驱动做的u盘禁用\读写控制。
代码贼多不说,还有各种系统兼容问题,调完了,特么的还得解决证书问题。
雪    币: 192
活跃值: 活跃值 (45)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
jkydhe 活跃值 2022-9-23 10:01
19
0
启动盘进pe后是不是就无法管控了?
雪    币: 441
活跃值: 活跃值 (819)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
lwl 活跃值 2022-9-23 10:36
20
0
jkydhe 启动盘进pe后是不是就无法管控了?
还有全盘加密哇
游客
登录 | 注册 方可回帖
返回