delphi ile kernel mode file hooking-yardım

[eroniko]

Delphi ile kernel düzeyinde hook atabilir miyim. 

örneğin hook.exe sa.txt  sa.txt ye erişimi engelleyecek.  işlem bitince de  hook u kaldırmak istiyorum. 

Freelancer da bunun ile ilgili konu da açmıştım. (Teklif verebilirsiniz, delphi ile de olur.)
freelancer konu linki

Lighthook (Link)  ile  yapmaya çalıştım ancak network ip adresini giriyorum.   aşağıdaki hatayı veriyor. 

Kod: (Select All)

Installing necessary components...
Failed operation: An error occurred while connecting from the remote machine.
Error: 10061 (ConnectionRefused)
Error message: Hedef makine etkin olarak reddettiğinden bağlantı kurulamadı 192.168.80.1:50005

Wdk ve Sdk lar yüklü. güvenlik duvarını da kapattım. 

[mrmarman]

Beyin fırtınası olarak kabul edin.

Bu dosyanın projeniz tarafından takip edilmesi zorunlu mudur ?
File Security üzerinden kullanıcı bazlı engel daha kolay olabilir o manada sorma gereği duydum.
Yazılımınız yine seçimlik dosyaların CACL erişim yetkilerine müdahale ederek erişimi sınırlandırıp yeniden serbest bırakabilir diye değerlendiriyorum

[eroniko]

(10-08-2024, Saat: 16:55)mrmarman Adlı Kullanıcıdan Alıntı: Beyin fırtınası olarak kabul edin.

Bu dosyanın projeniz tarafından takip edilmesi zorunlu mudur ?
File Security üzerinden kullanıcı bazlı engel daha kolay olabilir o manada sorma gereği duydum.
Yazılımınız yine seçimlik dosyaların CACL erişim yetkilerine müdahale ederek erişimi sınırlandırıp yeniden serbest bırakabilir diye değerlendiriyorum

Dediğiniz gibi kullanıcı bazlı yapmıştım. 

Biraz daha derin araştırmalar yaptığımda alt katmanda hook atmazsam bazı viruslerin kolayca bypass  edebildiklerini öğrendim.  bunu basit bir antimalware in parçası olarak kullanmak istiyorum

Önerilerinize açığım.

[mrmarman]

Merak edip google linklerine bakarken bir github linki takıldı. İncelemek isteyebilirsiniz. bu linkten  

En azında Delete / Write / Rename engelini koyarken FileInfo okumak zorunda kalacağından o aşamayı siz araştırıp bulabilirsiniz diye değerlendirdim. 

Benim bilgi seviyemin üzerinde konular bunlar.

Başarılar.

[eroniko]

(10-08-2024, Saat: 17:50)mrmarman Adlı Kullanıcıdan Alıntı: Merak edip google linklerine bakarken bir github linki takıldı. İncelemek isteyebilirsiniz. bu linkten  

En azında Delete / Write / Rename engelini koyarken FileInfo okumak zorunda kalacağından o aşamayı siz araştırıp bulabilirsiniz diye değerlendirdim. 

Benim bilgi seviyemin üzerinde konular bunlar.

Başarılar.

teşekkürler

[eroniko]

(10-08-2024, Saat: 17:50)mrmarman Adlı Kullanıcıdan Alıntı: Merak edip google linklerine bakarken bir github linki takıldı. İncelemek isteyebilirsiniz. bu linkten  

En azında Delete / Write / Rename engelini koyarken FileInfo okumak zorunda kalacağından o aşamayı siz araştırıp bulabilirsiniz diye değerlendirdim. 

Benim bilgi seviyemin üzerinde konular bunlar.

Başarılar.

Dediğiniz bu  windows-kernel-file-protector  i biraz düzenlemeyi başardım.  kernel düzeyinde okuma yazma silme gigi tüm işlemleri engelleyebiliyorum. teşekkürler.

[Syntax]

Kernel düzeyinde hook atabilmek için kernel düzeyinde çalışabilecek uygulamalar yazmalısın. Örneğin sistem sürücüleri. Bunlar ile Callback'leri dinleyerek araya girebilirsin. Bunu Delphi ile yapabileceğini sanmıyorum. O derece düşük seviye işlemleri C dili ile yapmak daha doğru olur. Kernel dediğiniz için dosya sistemindeki tabloları okumak (bildiimiz tarzda bir tablo diyemeyiz. PLDR_DATA_TABLE gibi.) ve bunlara müdahale etmek ileri seviye işlem gerektirir ki sistemi kararsızlaştırma ihtimaliniz oldukça yüksek. Ayrıca Windows Driver Kit gibi SDK'ları da yüklemek gerekecektir. Ayrıca 64/32 bit olaylarına da dikkat etmek gerekiyor. Windows, Linux'ın aksine, yapısı gereği çekirdeğiyle oynanmasından pek de hoşlanan bir işletim sistemi değil. Yukarıda verilen örneklerdeki gibi bunu UserMode tarafında halletmek sizin için daha uygun olur zannımca.

[eroniko]

(23-08-2024, Saat: 16:38)Syntax Adlı Kullanıcıdan Alıntı: Kernel düzeyinde hook atabilmek için kernel düzeyinde çalışabilecek uygulamalar yazmalısın. Örneğin sistem sürücüleri. Bunlar ile Callback'leri dinleyerek araya girebilirsin. Bunu Delphi ile yapabileceğini sanmıyorum. O derece düşük seviye işlemleri C dili ile yapmak daha doğru olur. Kernel dediğiniz için dosya sistemindeki tabloları okumak (bildiimiz tarzda bir tablo diyemeyiz. PLDR_DATA_TABLE gibi.) ve bunlara müdahale etmek ileri seviye işlem gerektirir ki sistemi kararsızlaştırma ihtimaliniz oldukça yüksek. Ayrıca Windows Driver Kit gibi SDK'ları da yüklemek gerekecektir. Ayrıca 64/32 bit olaylarına da dikkat etmek gerekiyor. Windows, Linux'ın aksine, yapısı gereği çekirdeğiyle oynanmasından pek de hoşlanan bir işletim sistemi değil. Yukarıda verilen örneklerdeki gibi bunu UserMode tarafında halletmek sizin için daha uygun olur zannımca.

Cevabınız için teşekkürler. 
@mrmarman  bey sağolsun bir yol gösterdi, önerdiği örnek çalışmayı biraz düzenlemeyi başardım.   kernel düzeyinde hook atabiliyorum şuan. 
2 gündür test ediyorum kararlı bir şekilde çalışıyor.  daha hiç mavi ekran vermedi. 
Test modunda wdk test sertifikası kullanıyorum ancak ücretli bir sertifika kullanmam gerekecek.  bu konuda hesaplı bir platform var mı bildiğiniz.