写在前面

1. 本文首发于 ， 授权转载到论坛论坛，其他转载请注明出处。
2. 论坛的这个MarkDown的系统与我的写作系统有点冲突，排班可能会有问题，可以点上面的连接去看原文获得更好地排版体验。
3. Linux的输入法你懂的，可能会有错字别字，大家多包涵~

FSD(File System Drivers)位于系统底层，是和磁盘驱动最近的地方。这个玩意平时存在感不强，但由于本身身处要地，所以经常被各种恶意程序、安全软件以及其他怀有各种纯洁和不纯洁目的的应用盯上。因此，作为Windows底层Ctrl C&V安全工程师，我们要关注这个地方。

从实践到理论

理论总是枯燥的，为了不一开始就陷入到枯燥的理论中，我们不妨从大家熟悉的、看得见的地方着手。

下图是笔者机器上磁盘管理器中各个分区的情况。可以看到共有C、D、X三个分区，分别为NTFS、FAT32、CDFS（光盘）格式。

在Windows的世界里，分区的名字叫做“卷”（如上图的D盘就叫新加卷）。如果想要存取卷上的数据，那么就需要数据按照文件系统要求的格式组织存放。上面的NTFS、FAT32、CDFS即为各个卷的文件系统，数据按照各个文件系统的规定格式存储在各个卷的介质上从而形成了大家平时在各个盘上看到的文件、文件夹等。

Windows是以树状结构来管理各个卷以及其对应文件系统的。下图即上面各个盘符对应的设备对象树。

从上面的树状图可见，笔者的三个分区（包括“系统保留”分区）分别对应三个PDO设备，设备名分别叫做\Device\HarddiskVolume[1-3]，这些设备都挂载在VolMgr下（也就是卷管理器）。

除去VolMgr，这几个HarddiskVolumeX属于最底层的物理设备，大家可以理解这几个设备代表的就是硬盘上的多个扇区集合。

再接下来位于设备栈次底层的是\Device\fvevol，这个设备即大名鼎鼎的Bitlocker加密设备，该设备负责解密从物理扇区中读取的数据并传递到他上层的文件系统驱动中——或者反过来——将上层文件系统驱动试图写入到磁盘上的数据进行加密最终存储到磁盘上。

最后再经过0到N层，我们会在设备树上看到该卷（分区）使用的文件系统，上图中分别是Ntfs和fastfat（FAT32）。

如果想要遍历每个卷的文件系统，可以通过_DEVICE_OBJECT的Vpb成员获取DeviceObject得到。下面以\Device\HarddiskVolume3为例进行说明，首先看一下设备树几个关键数据结构的截图：

接下来我们从调试器中观察上图中相关的数据结构，从\Device\HarddiskVolume3的FSDevice设备对象开始：

然后观察其DriverObject成员即可获取该设备使用的文件系统：

这里需要注意FastIoDispatch和MajorFunction成员，这里面即文件系统驱动在打开、读写卷时要用到的函数：

看一下上面得到的函数是否和PCHunter中的一致：

OK，到此我们从实际机器的分区开始，一步步搞清楚了文件系统驱动中（PCHunter的FSD标签页）每个回调函数是怎么来的，而且通过WinDBG观察了FSD中每个回调函数的当前地址。

相信读到此处，各位应该知道如何获取当前FSD驱动派遣函数地址了：

那么接下来的问题是，如何知道这些派遣函数的原始函数地址呢？方法其实很简单——找到初始化这些回调函数的地方即可。例如下图是NTFS文件系统（Ntfs.sys）初始化MajorFunction的地方。

上图中，以_Ntfs开头的函数即各个派遣函数的原始地址（IDA解析了符号因此显示的不是地址而是符号名）。不过在正式介绍如何获取原始函数之前，我们需要补充一些X86指令集的知识。

Intel指令简单介绍

为了得到原始函数地址，我们需要解析对应的汇编指令，也就是说我们需要解析字节码并从中识别出我们想要的指令。

坏消息是，x86是复杂指令集，其指令格式有很多种情况。好消息是，我们并不需要解析全部的指令，仅解析我们感兴趣的部分即可，这种情况下问题规模较为可控，毕竟情况就那么几种、穷举可以覆盖。坏消息是，我们需要补充一些额外的知识才能理解解析过程中的字节码含义。

需要说明的是，本文中介绍的知识仅限于“获得原始函数地址”涉及到的很小一部分，而且无法覆盖整个x86指令集，甚至会出现属于待解决问题范围但是却没有覆盖到的情况。如果要获取权威的指令集说明，建议阅读文末的参考3。

X86指令集介绍

首先来看一下32位下指令集的格式 参考3：

32位下一个完整的指令字节码由以下几个字段组成：

• 0到多个Prefix： 可选，每个Prefix占用1个字节。
• Opcode：必选，占用1到3个字节。
• ModR/M：可选，占用1个字节。
• SIB：可选，占用1个字节。
• Displacement： 可选，占用1、2、4个字节（注意没有3字节的情况），此字段下文中简称Disp或DISP。
• Immediate：可选，占用1、2、4个字节。

在整个解析字节码的过程中，我们主要关注的是：

• Opcode：用于区分我们关注的场景，控制问题规模。
• ModR/M：用于分离我们关注的寄存器（Register）与立即数偏移。
• Immediate：用于分离原始函数的地址。

其中MRod/M字段进一步格式如下，后续计算FSD原函数地址涉及到的寄存器与立即数均需要从此字段中解析得出：

上图中的字段，三个成员含义如下：

• Mod：两位，用于区分目的寄存器的大分类（详见下文中的表格）。
• Reg：三位，用于确认原操作数使用的寄存器。
• R/M：三位，结合Mod位，用于进一步确定目的地址的寻址格式从而分离出DISP偏移。

IA64(兼容X86_64)指令集介绍

64位下，其实指令格式和32位是一样的，只是有个叫做REX的Prefix需要被单独拿出来讨论。

REX格式

REX的前4位是固定的，后四位每个bit都代表一个标志位。要特别注意R位和B位，这两位在Mod不为11时应该分别前置于ModR/M的Reg位和R/M位，如下图：

讲了这么多，太抽象了，其实啰嗦了这么久本质上就是下面这张表参考2。

首先应该根据2位的Mod，也就上表红色箭头列，确定当前指令属于哪个大的分类。

然后根据R/M，也就是上表蓝色箭头列，继续确定目的操作数的寻址方式，即目的地址使用哪个寄存器（或内存地址）。

确认Mod和R/M后，可以在上表中确定一行，此时再看REX的B位，若REX.B为1，则应该看上表绿框中对应的行，否则看红框对应行。此时便可确定指令目的地址部分的指令格式。

最后，根据REX的R位，确认Reg。若Rex.R为1，则看上表蓝框中对应的Reg取值，否则看黄框的Reg取值。此时便确定了指令源操作数使用的寄存器。

Emmmmm, 依然很抽象， 那我们下文就以如下指令为例，实际解析一下吧：

指令解析实例

工欲善其事，必先利其器

上一节我们介绍了X86指令的格式，如果只单独分析一条指令的话工作量还可以，但是如果面对日常反汇编成百上千行代码显然无法一条条人工分析。

此时，一个开源工具就派上了大用场，这个工具就是Zydis，我们可以用这个反汇编引擎中提供的一个命令行工具来帮助我们快速解析字节码：

上图中使用ZydisInfo命令解析了64位下的一段指令，我们根据工具的输出，人工解析一下指令。

指令解析

上图中我们关注如下部分：

REX字段: 由0x48 = 01001000b, 可知REX.R = 0, REX.B = 0。MODRM: 由0x05 = 00000101b, 可知Mod = 00, Reg = 000, R/M = 101。由于Mod为00，因此定位位于下图中的蓝框区域所在的行。由于R/M为101且REX.B为0(竖直绿色箭头，只标识了REX.B为1的情况)，因此可知汇编指令的dst形式为[RIP/EIP]+disp32（REX.B无论是1还是0形式都一样）。由于Reg为000且REX.R为0（水平绿色箭头）且当前为64位汇编，因此确认src的寄存器为RAX。

同时，我们知道dst的形式是[RIP/EIP]+disp32，因此还有32位（4个字节）的DISP，也就是0xFFDE4F1A(big-endian),经过计算为有符号数负0x21b0e6：

结合OPCODE为0x89 参考2为move指令 :

那么，现在你已经对机器码分析基本原理有了一定了解，就让我们来看一下真正的原始FSD回调函数如何获取吧。

分析FSD初始化操作

思路上，我们需要重载一份FSD的内核模块，然后分析重载内核模块对MajorFunction与FastIoDispatch的初始化部分，得出模块原始的初始化地址，最后根据偏移计算初始化地址在现内核模块中的地址。

有关重载（内核）模块的内容，有很多其他资料，略……

经过实际分析，FSD初始化MajorFunction与FastIoDispatch的部分有三种情况，我们分开来讨论。

情况一

32位系统下，一般是直接赋值给结构体成员实现的，经过分析多个系统版本的代码，这种形式多见于对MajorFunction的初始化，例如下面的反汇编代码：

上面mov dword ptr [ebx+38h], offset _FatFsdCreate这行操作，等价于如下C程序：

所以上文中ebx为结构的起始地址，从上下文来看该结构是_DRIVER_OBJECT，因此只需要分析出ebx加的这一部分的值（DISP），然后根据_DRIVER_OBJECT对象计算出偏移对应的符号名即可得知是哪个函数。而DISP字段，通过上面ZydisInfo的输出已经分析出来了为0x38。

此处的问题是，我们如何用程序分析出上述我们需要的几个信息呢？好消息是，可以借助改造开源的ZydisInfo源码实现，坏消息是ZydisInfo的源码无法在内核下使用。由于笔者目前写的内核模块期望是all in one式的，因此需要在内核下解析二进制指令，于是笔者写了个临时的指令解析宏——注意，这个宏仅能正确解析有限模式的字节码、并不能保证所有情况下都能正确解析。

情况二

除了上述直接对偏移赋值的情况，还有一种间接赋值的情况。一般是先将原始函数赋值给一个寄存器，然后再将寄存器赋值给一块内存+偏移，通过分析多个系统的初始化代码，这种形式多见于对FAST_IO_DISPATCH的初始化，例如下面的情况：

上面两行汇编代码，等价于如下C代码：

针对这种情况，我们需要分析出mov指令中的DISP偏移与涉及到的寄存器，然后再向上寻找对该寄存器赋值的lea指令以及数据结构的起始地址，最后将DISP减去起始地址得出在结构中的成员偏移用于确定成员，最后根据寄存器值确定该成员的原始函数地址。

情况三

某些派遣函数在对应FSD模块中无法找到初始化的地方，例如下图是NTFS对MajorFunction的初始化部分：

虽然顺序是乱的，但是经过整理后发现对MajorFunction数组的下标操作并不是连续的（没有下标1、15的赋值）。这是因为在内核调用IoCreateDriver创建驱动对象时，会将对象的MajorFunction派遣函数默认全部设置为IopInvalidDeviceRequest：

因此对于FSD中未初始化的MajorFunction（FastIoDispatch同理），依然保留了创建驱动对象时的默认值：

成果

上文中的理论部分，完成之后证实可以达成获取当前与原始FSD派遣函数的效果：

参考