atapi层禁止特定扇区的读写

文件的保护有很多很多种方法。从ring3到ring0，从占坑到文件系统驱动的hook，等 等。而本文向大家介绍一种比文件系统更底层的方法，也就是port级的文件保护。抛开了 文件系统层次美观的文件名和文件对象，当irp传递到atapi.sys驱动后，有的只是磁盘的 物理偏移和SCSI指令。下面让我们开始对atapi的探索。 首先，让我们来了解一下写文件操作在内核中大致的流程。当你在用户层修改一个文件并 保存的时候，内核中生成了一个irp并开始处理它。在经过一系列无关重点的操作后，irp最 终会传到 Ntfs驱动的NtfsCommonWrite中，之后irp 依次传递给 VolSnap!VolSnapWrite->Ftdisk!FtDiskReadWrite->CLASSPNA!ClassReadWrite->CLASSPNP!S erviceTransferRequest->CLASSPNP!SubmitTransferPacket，最后SubmitTransferPacket() 会生成一个新的irp， 并传递给我们的今天的主角atapi! IdePortDispatch()， 该函数是atapi 的IRP_MJ_SCSI处理例程。在IdePortDispatch()之下就是hal层了，再下面就是端口的IO 操作了。 看到这里，这里大多数的读者应该都想到了hook IdePortDispatch就可以禁止特定扇 区的读写了。但是在这之前，我们更有必要看看SubmitTransferPacket()和 ServiceTransferRequest()这两个函数，因为我们需要知道SubmitTransferPacket()新生 成的irp有什么特别之处，因为这个irp将传递给atapi，并且决定此后的操作。 先来看看SubmitTransferPacket()中的代码。函数里有如下的代码：    nextSp = IoGetNextIrpStackLocation(Pkt->Irp);     nextSp->MajorFunction = IRP_MJ_SCSI;     nextSp->Parameters.Scsi.Srb = &Pkt->Srb;     Pkt->Srb.ScsiStatus = Pkt->Srb.SrbStatus = 0;     Pkt->Srb.SenseInfoBufferLength = sizeof(SENSE_DATA);   …… return IoCallDriverStackSafeDefault(nextDevObj, Pkt->Irp);            经过笔者的调试，确定了nextDevObj是atapi.sys生成名为 “DR0” 的设备对象。 而Pkt->Irp 中的Pkt是一个结构，笔者在这里不准备讲Pkt，它只是一个classpnp驱动里的一个结构， 我们只要知道Pkt->Irp是一个classpnp生成的新的irp就行了。通过源码可以发现，主要 的参数包含在nextSp->Parameters.Scsi.Srb里。 继续看上层函数ServiceTransferRequest()的代码。笔者发现这个函数里发现了一处 调用：              SetupReadWriteTransferPacket(pkt, bufPtr, thisPieceLen, targetLocation, Irp);     pktStat = SubmitTransferPacket(pkt);       让我们进SetupReadWriteTransferPacket中看看。笔者在这个函数发现以下对 Pkt->Srb操作的代码：           Pkt->Srb.DataBuffer = Buf;     Pkt->Srb.DataTransferLength = Len;     Pkt->Srb.QueueSortKey = logicalBlockAddr.LowPart;  Pkt->Srb.OriginalRequest = Pkt->Irp;     Pkt->Srb.SenseInfoBuffer = &Pkt->SrbErrorSenseData; Pkt->Srb.TimeOutValue = fdoExt->TimeOutValue;      pCdb = (PCDB)Pkt->Srb.Cdb;      if (TEST_FLAG(fdoExt->DeviceFlags, DEV_USE_16BYTE_CDB)) { REVERSE_BYTES_QUAD(&pCdb->CDB16.LogicalBlock, &logicalBlockAddr); REVERSE_BYTES(&pCdb->CDB16.TransferLength, &numTransferBlocks); pCdb->CDB16.OperationCode=(majorFunc==IRP_MJ_READ)?SCSIOP_READ16:SCSIOP_WRI TE16; Pkt->Srb.CdbLength = 16; }else{       pCdb->CDB10.LogicalBlockByte0=((PFOUR_BYTE)&logicalBlockAddr.LowPart)->Byte 3;    pCdb->CDB10.LogicalBlockByte1=((PFOUR_BYTE)&logicalBlockAddr.LowPart)->Byte 2;          pCdb->CDB10.LogicalBlockByte2=((PFOUR_BYTE)&logicalBlockAddr.LowPart)->Byte 1;    pCdb->CDB10.LogicalBlockByte3=((PFOUR_BYTE)&logicalBlockAddr.LowPart)->Byte 0; pCdb->CDB10.TransferBlocksMsb = ((PFOUR_BYTE)&numTransferBlocks)->Byte1; pCdb->CDB10.TransferBlocksLsb = ((PFOUR_BYTE)&numTransferBlocks)->Byte0; pCdb->CDB10.OperationCode=(majorFunc==IRP_MJ_READ)?SCSIOP_READ:SCSIOP_WRITE ;}   到这里，看到如此多的CDB和SRB，想必不少读者已经晕了。那么是时候对这些结构做 些说明了。 Atapi.sys接收的是SCSI命令， 这个开篇就提到了， 而SubmitTransferPacket(