win7 隐藏驱动编译于安装

最新推荐文章于 2020-10-20 11:30:37 发布
最新推荐文章于 2020-10-20 11:30:37 发布
阅读量1.4k 收藏 2
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/flymu0808/article/details/13025123
本文介绍如何在Windows 7 x86环境下,编译并安装用于隐藏目标文件夹的驱动程序,详细阐述了所需的操作步骤和驱动的INF文件配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

为了实现Win7下面,对目标文件夹隐藏,经过调试,一下代码可以实现相关的功能。

/*++

Copyright (c) 1999 - 2002  Microsoft Corporation

Module Name:

    passThrough.c

Abstract:

    This is the main module of the passThrough miniFilter driver.
    This filter hooks all IO operations for both pre and post operation
    callbacks.  The filter passes through the operations.

Environment:

    Kernel mode

--*/

#include <fltKernel.h>
#include <dontuse.h>
#include <suppress.h>

#pragma prefast(disable:__WARNING_ENCODE_MEMBER_FUNCTION_POINTER, "Not valid for kernel mode drivers")


PFLT_FILTER gFilterHandle;
ULONG_PTR OperationStatusCtx = 1;

#define PTDBG_TRACE_ROUTINES            0x00000001
#define PTDBG_TRACE_OPERATION_STATUS    0x00000002

ULONG gTraceFlags = 0;

#define PT_DBG_PRINT( _dbgLevel, _string )          \
    (FlagOn(gTraceFlags,(_dbgLevel)) ?              \
        DbgPrint _string :                          \
        ((int)0))

/*************************************************************************
    Prototypes
*************************************************************************/

DRIVER_INITIALIZE DriverEntry;
NTSTATUS
DriverEntry (
    __in PDRIVER_OBJECT DriverObject,
    __in PUNICODE_STRING RegistryPath
    );

NTSTATUS
PtInstanceSetup (
    __in PCFLT_RELATED_OBJECTS FltObjects,
    __in FLT_INSTANCE_SETUP_FLAGS Flags,
    __in DEVICE_TYPE VolumeDeviceType,
    __in FLT_FILESYSTEM_TYPE VolumeFilesystemType
    );

VOID
PtInstanceTeardownStart (
    __in PCFLT_RELATED_OBJECTS FltObjects,
    __in FLT_INSTANCE_TEARDOWN_FLAGS Flags
    );

VOID
PtInstanceTeardownComplete (
    __in PCFLT_RELATED_OBJECTS FltObjects,
    __in FLT_INSTANCE_TEARDOWN_FLAGS Flags
    );

NTSTATUS
PtUnload (
    __in FLT_FILTER_UNLOAD_FLAGS Flags
    );

NTSTATUS
PtInstanceQueryTeardown (
    __in PCFLT_RELATED_OBJECTS FltObjects,
    __in FLT_INSTANCE_QUERY_TEARDOWN_FLAGS Flags
    );

FLT_PREOP_CALLBACK_STATUS
PtPreOperationPassThrough (
    __inout PFLT_CALLBACK_DATA Data,
    __in PCFLT_RELATED_OBJECTS FltObjects,
    __deref_out_opt PVOID *CompletionContext
    );

VOID
PtOperationStatusCallback (
    __in PCFLT_RELATED_OBJECTS FltObjects,
    __in PFLT_IO_PARAMETER_BLOCK ParameterSnapshot,
    __in NTSTATUS OperationStatus,
    __in PVOID RequesterContext
    );

FLT_POSTOP_CALLBACK_STATUS
PtPostOperationPassThrough (
    __inout PFLT_CALLBACK_DATA Data,
    __in PCFLT_RELATED_OBJECTS FltObjects,
    __in_opt PVOID CompletionContext,
    __in FLT_POST_OPERATION_FLAGS Flags
    );

FLT_PREOP_CALLBACK_STATUS
PtPreOperationNoPostOperationPassThrough (
    __inout PFLT_CALLBACK_DATA Data,
    __in PCFLT_RELATED_OBJECTS FltObjects,
    __deref_out_opt PVOID *CompletionContext
    );

BOOLEAN
PtDoRequestOperationStatus(
    __in PFLT_CALLBACK_DATA Data
    );

//
//  Assign text sections for each routine.
//

#ifdef ALLOC_PRAGMA
#pragma alloc_text(INIT, DriverEntry)
#pragma alloc_text(PAGE, PtUnload)
#pragma alloc_text(PAGE, PtInstanceQueryTeardown)
#pragma alloc_text(PAGE, PtInstanceSetup)
#pragma alloc_text(PAGE, PtInstanceTeardownStart)
#pragma alloc_text(PAGE, PtInstanceTeardownComplete)
#endif

//
//  operation registration
//

CONST FLT_OPERATION_REGISTRATION Callbacks[] = {
   
     { IRP_MJ_DIRECTORY_CONTROL,
      0,
      NULL,
      PtPostOperationPassThrough },

    { IRP_MJ_OPERATION_END }
};

//
//  This defines what we want to filter with FltMgr
//

CONST FLT_REGISTRATION FilterRegistration = {

    sizeof( FLT_REGISTRATION ),         //  Size
    FLT_REGISTRATION_VERSION,           //  Version
    0,                                  //  Flags

    NULL,                               //  Context
    Callbacks,                          //  Operation callbacks

    PtUnload,                           //  MiniFilterUnload

    PtInstanceSetup,                    //  InstanceSetup
    PtInstanceQueryTeardown,            //  InstanceQueryTeardown
    PtInstanceTeardownStart,            //  InstanceTeardownStart
    PtInstanceTeardownComplete,         //  InstanceTeardownComplete

    NULL,                               //  GenerateFileName
    NULL,                               //  GenerateDestinationFileName
    NULL                                //  NormalizeNameComponent

};

PWCHAR prefixName = L"invisible";
ULONG prefixLength = 9;

NTSTATUS
PtInstanceSetup (
    __in PCFLT_RELATED_OBJECTS FltObjects,
    __in FLT_INSTANCE_SETUP_FLAGS Flags,
    __in DEVICE_TYPE VolumeDeviceType,
    __in FLT_FILESYSTEM_TYPE VolumeFilesystemType
    )
/*++

Routine Description:

    This routine is called whenever a new instance is created on a volume. This
    gives us a chance to decide if we need to attach to this volume or not.

    If this routine is not defined in the registration structure, automatic
    instances are alwasys created.
最低0.47元/天 解锁文章

200万优质内容无限畅学
飞鸟Mu
关注
FltRegisterFilter 调用失败的处理
Loong的专栏
04-08 1507
  FltRegisterFilter 调用失败的处理  今天准备调试昨天的一个mini filter 的时候,突然系统蓝屏了,感觉很奇怪,因为在以前是没有问题,而且这几天也没有改过代码,怎么突然有问题了呢?于是启动 windDBG 进行调试。   一 调试    在DriverEntry 里下了断点,运行到 FltRegisterFilter 时,...
VS2010 & WDK7.1开发环境搭建(包含32位和64位驱动编译)
02-15
VS2010 & WDK7.1开发环境搭建(包含32位和64位驱动编译)
win7编译驱动
Ansbic的专栏
05-22 613
打开 x86 Checked Build Environment  转到 : pushd +目标路径  build
生成驱动的两种编译方式
weixin_30570101的博客
02-15 406
本机:Windows7(64-bit) 试验机:Windows7(32-bit)/WindowsXP 1、利用wdk自带环境编译,这个比较简单,直接build就行 makefile !IF 0 Copyright (C) Microsoft Corporation, 1999 - 2002 Module Name: makefile. No...
驱动开发心得经验和想法
lionzl的专栏
11-02 1669
这里记载一些心得经验和想法(没有实验). 这里大多是血的教训!请大家谨记. 1.ExAllocatePoolWithTag不但检查成功否和释放ExFreePoolWithTag,更重要的是要RtlZeroMemory,不然会有乱码等奇怪的现象.最好立马使用,最近使用. 不会C++,没有C++的思想。不过写下面的两个函数倒有进步的思想。 #define TAG 'tset' //驱动在内存
驱动复习总结--指明代码加载内存位置的几种方式
wowolook的专栏
05-21 1719
//第一种方法 // //  demo.h // #pragma once #ifdef __cplusplus extern "C" { #endif #include #ifdef __cplusplus } #endif #define PAGEDCODE  code_seg("PAGE")  //分页内存 #define LOCKEDCODE code_se
HideProcess完结篇.zip_c++ 进程隐藏_c++隐藏进程_隐藏进程_隐藏驱动_驱动隐藏进程
07-15
"Win7Debug"可能包含了一些针对Windows 7系统的调试工具或资料。"HideProcess"和"x64"目录可能分别包含编译后的可执行文件和适用于64位系统的相关文件。"HideProcess Package"可能是整个项目的打包文件,方便部署和...
#驱动_filmvfv_读写内存_win驱动读内存_win7内存读写驱动_驱动读写_
09-30
标题中的“#驱动_filmvfv_读写内存_win驱动读内存_win7内存读写驱动_驱动读写_”指的是一个专门针对Windows 7系统设计的内存读写驱动程序,可能用于开发或调试过程中需要直接操作内存的场景。在Windows操作系统中,...
WIN7 64位驱动隐藏技术解析与实现
【描述】:"支持WIN7 64位系统的驱动隐藏代码.有注释." 这段描述提供了关于压缩包内容的具体信息。首先,它指出了该驱动隐藏代码是为Windows 7的64位版本设计的。Windows 7是微软公司在2009年发布的操作系统版本,...
ring0驱动层上实现 隐藏进程(无进程 无端口 无服务)的简单demo.zip
01-24
在IT领域,尤其是在系统安全和恶意软件分析中,"ring0驱动层上实现隐藏进程"是一种高级技术,它涉及到操作系统内核级别的编程。Ring0是CPU执行级别中的最高权限级别,通常只允许操作系统核心和设备驱动程序访问。...
minifilter框架监控文件创建框架
Cosmopolitan的博客
09-20 1646
#include <fltKernel.h> #include <dontuse.h> #include <suppress.h> #pragma prefast(disable:__WARNING_ENCODE_MEMBER_FUNCTION_POINTER, "Not valid for kernel mode drivers") PFLT_FILT...
#pragma alloc_text 与 ALLOC_PRAGMA
wolfman125的博客
02-23 1045
编译时控制分页能力    有时,驱动程序的某些部分必须驻留内存而另一些可以被分页,这就需要一种能控制代码和数据是否分页的方法。通过指导编译器的段分配可以实现这个目的。在运行时,装入器通过检查驱动程序中的段名, 把段放到你指定的内存池中。此外在运行时调用内存管理器的例程也能实现这个目的。 需要注意的是: -----------------------------------------
解决文件过滤驱动安装失败,提示依赖的 fltmgr.sys 不存在的问题
一柯的专栏
05-19 6140
解决文件系统过滤驱动安装失败,提示依赖的fltmgr.sys不存在的问题
Talking about "#pragma alloc_text(PAGE,<funcName>);"[转载]
weixin_30654419的博客
05-20 223
附: 原文地址 编译时控制分页能力 有时,驱动程序的某些部分必须驻留内存而另一些可以被分页,这就需要一种能控制代码和数据是否分页的方法。通过指导编译器的段分配可以实现这个目的。在运行时,装入器通过检查驱动程序中的段名把段放到你指定的内存池中。此外在运行时调用内存管理器的例程也能实现这个目的。 注意 ------------------------------------------------...
minifilter 驱动开发总结
d2262272d的博客
01-07 921
对于初次涉及驱动开发的朋友,首先说一下下开发前的心理建设,开发的耗时一般都很长,过程很繁琐,成就感真的就只有完成整个驱动后的那一会快感。着重说明这是一件单身汉干的事,不要老是想着对象,否则及其容易出问题,找不出来的那种,开玩笑哈,只是说驱动开发过程中面向过程的思想比较重。 好了,说正经的,单刀直入就从工程创建说起,零碎的东西就三言两语带过哈! 一般安装vs的时候,都不会去吧驱动模块相关的东西...
常见的windows蓝屏代码查询及处理
热门推荐
格林王子举哥
10-20 4万+
所谓解绳之人还得系绳之人,window蓝屏当然就要找微软啦 这里我给微软的蓝屏代码整理了下,浏览器中 ctrl+F 调出查找即可定位具体的蓝屏代码位置,然后点击对应的【右边描述连接】即可查看解决办法和描述 代码 描述 0x00000001 APC_INDEX_MISMATCH 0x00000002 DEVICE_QUEUE_NOT_BUSY 0x00000003 INVALID_AFFINITY_SET 0x00000004 INVALID_DATA_ACC
初识-WINDBG 分析DUMP
10-25 1522
<br />Dump 文件分析很大程度上就是分析蓝屏产生的原因。这种系统级的错误算是Windows提示错误中比较严重的一种(更严重的还有启动黑屏等硬件或软件兼容性错误等等)。说它是比较严重,是因为毕竟Windows还提供了dump文件给用户分析,至少能比较容易的找到错误的原因。一般蓝屏要么是内核程序中的异常或违规,要么是数据结构的损坏,也有boot或shutdown的时候内核出错。有时候蓝屏是一闪而过,紧接着是系统重启;有时候是蓝屏等待。总之蓝屏的时候都提示了一些停止代码和错误信息,不过这些提示是不全面的,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值