win7 隐藏驱动编译于安装

最新推荐文章于 2020-01-07 17:52:26 发布
原创 最新推荐文章于 2020-01-07 17:52:26 发布 · 1.4k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何在Windows 7 x86环境下,编译并安装用于隐藏目标文件夹的驱动程序,详细阐述了所需的操作步骤和驱动的INF文件配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

为了实现Win7下面,对目标文件夹隐藏,经过调试,一下代码可以实现相关的功能。

/*++

Copyright (c) 1999 - 2002  Microsoft Corporation

Module Name:

    passThrough.c

Abstract:

    This is the main module of the passThrough miniFilter driver.
    This filter hooks all IO operations for both pre and post operation
    callbacks.  The filter passes through the operations.

Environment:

    Kernel mode

--*/

#include <fltKernel.h>
#include <dontuse.h>
#include <suppress.h>

#pragma prefast(disable:__WARNING_ENCODE_MEMBER_FUNCTION_POINTER, "Not valid for kernel mode drivers")


PFLT_FILTER gFilterHandle;
ULONG_PTR OperationStatusCtx = 1;

#define PTDBG_TRACE_ROUTINES            0x00000001
#define PTDBG_TRACE_OPERATION_STATUS    0x00000002

ULONG gTraceFlags = 0;

#define PT_DBG_PRINT( _dbgLevel, _string )          \
    (FlagOn(gTraceFlags,(_dbgLevel)) ?              \
        DbgPrint _string :                          \
        ((int)0))

/*************************************************************************
    Prototypes
*************************************************************************/

DRIVER_INITIALIZE DriverEntry;
NTSTATUS
DriverEntry (
    __in PDRIVER_OBJECT DriverObject,
    __in PUNICODE_STRING RegistryPath
    );

NTSTATUS
PtInstanceSetup (
    __in PCFLT_RELATED_OBJECTS FltObjects,
    __in FLT_INSTANCE_SETUP_FLAGS Flags,
    __in DEVICE_TYPE VolumeDeviceType,
    __in FLT_FILESYSTEM_TYPE VolumeFilesystemType
    );

VOID
PtInstanceTeardownStart (
    __in PCFLT_RELATED_OBJECTS FltObjects,
    __in FLT_INSTANCE_TEARDOWN_FLAGS Flags
    );

VOID
PtInstanceTeardownComplete (
    __in PCFLT_RELATED_OBJECTS FltObjects,
    __in FLT_INSTANCE_TEARDOWN_FLAGS Flags
    );

NTSTATUS
PtUnload (
    __in FLT_FILTER_UNLOAD_FLAGS Flags
    );

NTSTATUS
PtInstanceQueryTeardown (
    __in PCFLT_RELATED_OBJECTS FltObjects,
    __in FLT_INSTANCE_QUERY_TEARDOWN_FLAGS Flags
    );

FLT_PREOP_CALLBACK_STATUS
PtPreOperationPassThrough (
    __inout PFLT_CALLBACK_DATA Data,
    __in PCFLT_RELATED_OBJECTS FltObjects,
    __deref_out_opt PVOID *CompletionContext
    );

VOID
PtOperationStatusCallback (
    __in PCFLT_RELATED_OBJECTS FltObjects,
    __in PFLT_IO_PARAMETER_BLOCK ParameterSnapshot,
    __in NTSTATUS OperationStatus,
    __in PVOID RequesterContext
    );

FLT_POSTOP_CALLBACK_STATUS
PtPostOperationPassThrough (
    __inout PFLT_CALLBACK_DATA Data,
    __in PCFLT_RELATED_OBJECTS FltObjects,
    __in_opt PVOID CompletionContext,
    __in FLT_POST_OPERATION_FLAGS Flags
    );

FLT_PREOP_CALLBACK_STATUS
PtPreOperationNoPostOperationPassThrough (
    __inout PFLT_CALLBACK_DATA Data,
    __in PCFLT_RELATED_OBJECTS FltObjects,
    __deref_out_opt PVOID *CompletionContext
    );

BOOLEAN
PtDoRequestOperationStatus(
    __in PFLT_CALLBACK_DATA Data
    );

//
//  Assign text sections for each routine.
//

#ifdef ALLOC_PRAGMA
#pragma alloc_text(INIT, DriverEntry)
#pragma alloc_text(PAGE, PtUnload)
#pragma alloc_text(PAGE, PtInstanceQueryTeardown)
#pragma alloc_text(PAGE, PtInstanceSetup)
#pragma alloc_text(PAGE, PtInstanceTeardownStart)
#pragma alloc_text(PAGE, PtInstanceTeardownComplete)
#endif

//
//  operation registration
//

CONST FLT_OPERATION_REGISTRATION Callbacks[] = {
   
     { IRP_MJ_DIRECTORY_CONTROL,
      0,
      NULL,
      PtPostOperationPassThrough },

    { IRP_MJ_OPERATION_END }
};

//
//  This defines what we want to filter with FltMgr
//

CONST FLT_REGISTRATION FilterRegistration = {

    sizeof( FLT_REGISTRATION ),         //  Size
    FLT_REGISTRATION_VERSION,           //  Version
    0,                                  //  Flags

    NULL,                               //  Context
    Callbacks,                          //  Operation callbacks

    PtUnload,                           //  MiniFilterUnload

    PtInstanceSetup,                    //  InstanceSetup
    PtInstanceQueryTeardown,            //  InstanceQueryTeardown
    PtInstanceTeardownStart,            //  InstanceTeardownStart
    PtInstanceTeardownComplete,         //  InstanceTeardownComplete

    NULL,                               //  GenerateFileName
    NULL,                               //  GenerateDestinationFileName
    NULL                                //  NormalizeNameComponent

};

PWCHAR prefixName = L"invisible";
ULONG prefixLength = 9;

NTSTATUS
PtInstanceSetup (
    __in PCFLT_RELATED_OBJECTS FltObjects,
    __in FLT_INSTANCE_SETUP_FLAGS Flags,
    __in DEVICE_TYPE VolumeDeviceType,
    __in FLT_FILESYSTEM_TYPE VolumeFilesystemType
    )
/*++

Routine Description:

    This routine is called whenever a new instance is created on a volume. This
    gives us a chance to decide if we need to attach to this volume or not.

    If this routine is not defined in the registration structure, automatic
    instances are alwasys created.
最低0.47元/天 解锁文章

200万优质内容无限畅学
飞鸟Mu
关注
FltRegisterFilter 调用失败的处理
Loong的专栏
04-08 1508
  FltRegisterFilter 调用失败的处理  今天准备调试昨天的一个mini filter 的时候,突然系统蓝屏了,感觉很奇怪,因为在以前是没有问题,而且这几天也没有改过代码,怎么突然有问题了呢?于是启动 windDBG 进行调试。   一 调试    在DriverEntry 里下了断点,运行到 FltRegisterFilter 时,...
解决win7下Arduino驱动无法自动安装的问题
weixin_40143158的博客
05-19 2747
Arduino在win7驱动无法自动安装的问题,在很多纯净版和Ghost win7系统中比较常见,查询了这个问题的原因,可能是因为这类系统精简掉了一些不常用的系统文件所致。我的电脑是win7+ubuntu双系统,arduino在ubuntu系统下即插即用,win7下则花了不少时间解决驱动问题。总结下来,遇到win7下Arduino驱动安装失败的情况,可以这样逐步尝试解决问题: 1. 添加 md...
VS2010 & WDK7.1开发环境搭建(包含32位和64位驱动编译)
02-15
VS2010 & WDK7.1开发环境搭建(包含32位和64位驱动编译)
win7编译驱动
Ansbic的专栏
05-22 613
打开 x86 Checked Build Environment  转到 : pushd +目标路径  build
生成驱动的两种编译方式
weixin_30570101的博客
02-15 407
本机:Windows7(64-bit) 试验机:Windows7(32-bit)/WindowsXP 1、利用wdk自带环境编译,这个比较简单,直接build就行 makefile !IF 0 Copyright (C) Microsoft Corporation, 1999 - 2002 Module Name: makefile. No...
驱动开发心得经验和想法
lionzl的专栏
11-02 1669
这里记载一些心得经验和想法(没有实验). 这里大多是血的教训!请大家谨记. 1.ExAllocatePoolWithTag不但检查成功否和释放ExFreePoolWithTag,更重要的是要RtlZeroMemory,不然会有乱码等奇怪的现象.最好立马使用,最近使用. 不会C++,没有C++的思想。不过写下面的两个函数倒有进步的思想。 #define TAG 'tset' //驱动在内存
驱动复习总结--指明代码加载内存位置的几种方式
wowolook的专栏
05-21 1720
//第一种方法 // //  demo.h // #pragma once #ifdef __cplusplus extern "C" { #endif #include #ifdef __cplusplus } #endif #define PAGEDCODE  code_seg("PAGE")  //分页内存 #define LOCKEDCODE code_se
minifilter框架监控文件创建框架
Cosmopolitan的博客
09-20 1647
#include <fltKernel.h> #include <dontuse.h> #include <suppress.h> #pragma prefast(disable:__WARNING_ENCODE_MEMBER_FUNCTION_POINTER, "Not valid for kernel mode drivers") PFLT_FILT...
#pragma alloc_text 与 ALLOC_PRAGMA
wolfman125的博客
02-23 1045
编译时控制分页能力    有时,驱动程序的某些部分必须驻留内存而另一些可以被分页,这就需要一种能控制代码和数据是否分页的方法。通过指导编译器的段分配可以实现这个目的。在运行时,装入器通过检查驱动程序中的段名, 把段放到你指定的内存池中。此外在运行时调用内存管理器的例程也能实现这个目的。 需要注意的是: -----------------------------------------
Talking about "#pragma alloc_text(PAGE,<funcName>);"[转载]
weixin_30654419的博客
05-20 223
附: 原文地址 编译时控制分页能力 有时,驱动程序的某些部分必须驻留内存而另一些可以被分页,这就需要一种能控制代码和数据是否分页的方法。通过指导编译器的段分配可以实现这个目的。在运行时,装入器通过检查驱动程序中的段名把段放到你指定的内存池中。此外在运行时调用内存管理器的例程也能实现这个目的。 注意 ------------------------------------------------...
minifilter 驱动开发总结
d2262272d的博客
01-07 925
对于初次涉及驱动开发的朋友,首先说一下下开发前的心理建设,开发的耗时一般都很长,过程很繁琐,成就感真的就只有完成整个驱动后的那一会快感。着重说明这是一件单身汉干的事,不要老是想着对象,否则及其容易出问题,找不出来的那种,开玩笑哈,只是说驱动开发过程中面向过程的思想比较重。 好了,说正经的,单刀直入就从工程创建说起,零碎的东西就三言两语带过哈! 一般安装vs的时候,都不会去吧驱动模块相关的东西...
初识-WINDBG 分析DUMP
10-25 1524
<br />Dump 文件分析很大程度上就是分析蓝屏产生的原因。这种系统级的错误算是Windows提示错误中比较严重的一种(更严重的还有启动黑屏等硬件或软件兼容性错误等等)。说它是比较严重,是因为毕竟Windows还提供了dump文件给用户分析,至少能比较容易的找到错误的原因。一般蓝屏要么是内核程序中的异常或违规,要么是数据结构的损坏,也有boot或shutdown的时候内核出错。有时候蓝屏是一闪而过,紧接着是系统重启;有时候是蓝屏等待。总之蓝屏的时候都提示了一些停止代码和错误信息,不过这些提示是不全面的,
WinCE BSP中的Dirs文件和Sources文件(转自微软MVP作者:ARM—WinCE) 收藏
zzlwm的专栏
01-07 341
1.  Dirs文件关于Dirs文件,就是指定要编译的路径,这个地球人都知道。还是简单介绍一下。按照文档上面介绍有三种定义:DIRS,DIRS_CE和OPTIONAL_DIRS。 DIRS:就是指定要编译的目录。DIRS_CE:只有目录下的源代码用于WinCE的映像文件时,才编译该目录。OPTIONAL_DIRS:指定可以选择编译的目录。比如:OPTIONAL_DIRS=pro
Minifilter过滤,功能实现对驱动目录的监控,包括创建,重命名,删除并实现hips
热门推荐
zhuhuibeishadiao
05-02 1万+
注意下:我的这套过滤只能用在nt6系统上 原因是使用一个nt6上才有的函数 见函数 PsGetProcessFullName 其实没必要自己来写获取全路径 因为minifilter已经给我们提供了获取全路径的函数 FltGetFileNameInformation 我就不改了,哈哈 说说遇到的问题吧 在监控创建的时候,我在卸载post中的,我拒绝后,在弹窗,2-3
win7安装arduino驱动失败的解决方法
04-03 1万+
遇到win7下arduino驱动装置失利的状况,能够先测验:   把mdmcdp.inf文件复制到C:\Windows\inf下; 把usbser.sys文件复制到C:\Windows\System32\drivers下; 从头拔插usb线,观察驱动装置状况。   许多人完结以上两步就能解决问题。   假如依然装置失利: 到Aarduino装置
WIN7 64位驱动隐藏技术解析与实现
【描述】:"支持WIN7 64位系统的驱动隐藏代码.有注释." 这段描述提供了关于压缩包内容的具体信息。首先,它指出了该驱动隐藏代码是为Windows 7的64位版本设计的。Windows 7是微软公司在2009年发布的操作系统版本,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值