Windows驱动_文件系统微小过滤驱动之五MiniFilter例程解析

最新推荐文章于 2025-03-19 05:34:15 发布
最新推荐文章于 2025-03-19 05:34:15 发布
阅读量7.1k 收藏 5
点赞数 1
分类专栏: Windows驱动_文件系统微过滤驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Z18_28_19/article/details/13724259
版权
本文深入探讨了Windows文件系统微过滤驱动的示例,重点讲解了MiniFilter的例程解析,包括上下文分配、操作函数注册和数据结构。通过分析,展示了如何实现用户模式应用程序与驱动程序的交互、文件名分析及文件信息传递。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

                今天,上了下看雪,好久没上去了,现在的看雪,跟之前不一样了,刚毕业的那个时候,上面的大牛真是多,现在屈指可数了,可能这些大牛们,因为年纪的增长,已经不在一线了,或许因为家庭,每时间在论坛上逛了,也许都已经在创业了,现在这个APP泛滥的年代,意念和想法,已经不靠技术了,也没有多少人在研究着技术,目前的中国还是有些浮躁,其实好好想想,现在所有的系统,芯片还是掌握在别人手上,不要谈Android,Windows谁号谁坏,其实中国本就没有发言权,因为再好,或者谁好,都不是自己的,看愈演愈烈的网络监听吧。别人现在是赚钱,如果上升到国家安全,好用是好用,但你摆脱不了的时候,它就可以控制你,监听你。其实现在的中国互联网公司已经有很多钱了,为什么不去扶持一下,中国的操作系统,芯片了。


              我们今天来看下,微软的文件系统微过滤驱动的示例,主要的功能,包括,用户模式的应用程序和微小过滤驱动层程序的交流。微小过滤驱动的文件名的分析。一些相关文件信息的上传到应用程序。借此机会,重新来回顾一下,这些知识点。


                 这里首先分配了一个全局的上下文的空间。
  
  typedef struct _MINISPY_DATA {


  //
  //  The object that identifies this driver.
  //


  PDRIVER_OBJECT DriverObject;


  //
  //  The filter that results from a call to
  //  FltRegisterFilter.
  //


  PFLT_FILTER Filter;


  //
  //  Server port: user mode connects to this port
  //


  PFLT_PORT ServerPort;


  //
  //  Client connection port: only one connection is allowed at a time.,
  //


  PFLT_PORT ClientPort;


  //
  //  List of buffers with data to send to user mode.
  //


  KSPIN_LOCK OutputBufferLock;
  LIST_ENTRY OutputBufferList;


  //
  //  Lookaside list used for allocating buffers.
  //


  NPAGED_LOOKASIDE_LIST FreeBufferList;


  //
  //  Variables used to throttle how many records buffer we can use
  //


  LONG MaxRecordsToAllocate;
  __volatile LONG RecordsAllocated;


  //
  //  static buffer used for sending an "out-of-memory" message
  //  to user mode.
  //


  __volatile LONG StaticBufferInUse;


  //
  //  We need to make sure this buffer aligns on a PVOID boundary because
  //  minispy casts this buffer to a RECORD_LIST structure.
  //  That can cause alignment faults unless the structure starts on the
  //  proper PVOID boundary
  //


  PVOID OutOfMemoryBuffer[RECORD_SIZE/sizeof( PVOID )];


  //
  //  Variable and lock for maintaining LogRecord sequence numbers.
  //


  __volatile LONG LogSequenceNumber;


  //
  //  The name query method to use.  By default, it is set to
  //  FLT_FILE_NAME_QUERY_ALWAYS_ALLOW_CACHE_LOOKUP, but it can be overridden
  //  by a setting in the registery.
  //


  ULONG NameQueryMethod;


  //
  //  Global debug flags
  //


  ULONG DebugFlags;


#if MINISPY_VISTA


  //
  //  Dynamically imported Filter Mgr APIs
  //


  PFLT_SET_TRANSACTION_CONTEXT PFltSetTransactionContext;


  PFLT_GET_TRANSACTION_CONTEXT PFltGetTransactionContext;


  PFLT_ENLIST_IN_TRANSACTION PFltEnlistInTransaction;


#endif


 } MINISPY_DATA, *PMINISPY_DATA;
 
 注册操作函数的定义:
 
 CONST FLT_REGISTRATION FilterRegistration = {


    sizeof(FLT_REGISTRATION),               //  Size
    FLT_REGISTRATION_VERSION,               //  Version   
#if MINISPY_WIN8 
    FLTFL_REGISTRATION_SUPPORT_NPFS_MSFS,   //  Flags
#else
    0,                                      //  Flags
#endif // MINISPY_WIN8


    Contexts,                               //  Context
    Callbacks,                              //  Operation callbacks


    SpyFilterUnload,                        //  FilterUnload


    NULL,                                   //  InstanceSetup
    SpyQueryTeardown,                       //  InstanceQueryTeardown
    NULL,                                   //  InstanceTeardownStart
    NULL,                                   //  InstanceTeardownComplete


    NULL,                                   //  GenerateFileName
    NULL,                                   //  GenerateDestinationFileName
    NULL                                    //  NormalizeNameComponent


#if MINISPY_VISTA


    
    SpyKtmNotificationCallback              //  KTM notification callback


#endif // MINISPY_VISTA


 };
 
 这里,还有两个内置的数据结构。
 
 const FLT_CONTEXT_REGISTRATION Contexts[] = {


#if MINISPY_VISTA


    { FLT_TRANSACTION_CONTEXT,
      0,
      SpyDeleteTxfContext,
      sizeof(MINISPY_TRANSACTION_CONTEXT),
      'ypsM' },


#endif // MINISPY_VISTA


    { FLT_CONTEXT_END }
};
 
 这个是定义上下文,这里主要是为VISTA以后出现的传输上下文。
 
 再Callbacks操作的定义:
 
 CONST FLT_OPERATION_REGISTRATION Callbacks[] = {
    { IRP_MJ_CREATE,
      0,
      SpyPreOperationCallback,
      SpyPostOperationCallback },


    { IRP_MJ_CREATE_NAMED_PIPE,
      0,
      SpyPreOperationCallback,
      SpyPostOperationCallback },


    { IRP_MJ_CLOSE,
      0,
      SpyPreOperationCallback,
      SpyPostOperationCallback },


    { IRP_MJ_READ,
      0,
      SpyPreOperationCallback,
      SpyPostOperationCallback },


    { IRP_MJ_WRITE,
      0,
      SpyPreOperationCallback,
      SpyPostOperationCallback },


    { IRP_MJ_QUERY_INFORMATION,
      0,
      SpyPreOperationCallback,
      SpyPostOperationCallback },


    { IRP_MJ_SET_INFORMATION,
      0,
      SpyPreOperationCallback,
      SpyPostOperationCallback },


    { IRP_MJ_QUERY_EA,
      0,
      SpyPreOperationCallback,
      SpyPostOperationCallback },


    { IRP_MJ_SET_EA,
      0,
      SpyPreOperationCallback,
      SpyPostOperationCallback },


    { IRP_MJ_FLUSH_BUFFERS,
      0,
      SpyPreOperationCallback,
      SpyPostOperationCallback },


    { IRP_MJ_QUERY_VOLUME_INFORMATION,
      0,
      SpyPreOperationCallback,
      SpyPostOperationCallback },


    { IRP_MJ_SET_VOLUME_INFORMATION,
      0,
      SpyPreOperationCallback,
      SpyPostOperationCallback },


    { IRP_MJ_DIRECTORY_CONTROL,
      0,
      SpyPreOperationCallback,
      SpyPostOperationCallback },


    { IRP_MJ_FILE_SYSTEM_CONTROL,
      0,
      SpyPreOperationCallback,
      SpyPostOperationCallback },


    { IRP_MJ_DEVICE_CONTROL,
      0,
      SpyPreOperationCallback,
      SpyPostOperationCallback },


    { IRP_MJ_INTERNAL_DEVICE_CONTROL,
      0,
      SpyPreOperationCallback,
      SpyPostOperationCallback },


    { IRP_MJ_SHUTDOWN,
      0,
      SpyPreOperationCallback,
      NULL },                           //post operation callback not supported


    { IRP_MJ_LOCK_CONTROL,
      0,
      SpyPreOperationCallback,
      SpyPostOperationCallback },


    { IRP_MJ_CLEANUP,
      0,
      SpyPreOperationCallback,
      SpyPostOperationCallback },


    { IRP_MJ_CREATE_MAILSLOT,
      0,
      SpyPreOperationCallback,
      SpyPostOperationCallback },


    { IRP_MJ_QUERY_SECURITY,
      0,
      SpyPreOperationCallback,
      SpyPostOperationCallback },


    { IRP_MJ_SET_SECURITY,
      0,
      SpyPreOperationCallback,
      SpyPostOperationCallback },


    { IRP_M

最低0.47元/天 解锁文章
windows内核驱动开发文件系统过滤驱动Minifilter——获取进程信息
zcr214的博客
11-28 2418
【我的】文件系统过滤驱动Minifilter——获取进程信息 作者:zcr214 时间:2016/4/22   在编写文件系统过滤驱动minifilter的时候,除了绑定指定的磁盘分卷,对于指定的文件很可能还会有指定的应用程序,例如txt文件可以有很多编辑器可以使用,如wordpad,notepad,sublime,vim,notepad+等,doc文档可以使用office word或W
Win64 驱动内核编程-17. MINIFILTER(文件保护)
墨鱼菜鸡
12-18 330
MINIFILTER(文件保护) 使用HOOK来监控文件操作的方法有很多,可以在SSDT上HOOK一堆和FILE有关的函数,也可以对FSD进行IRPHOOK,不过这些方法既不方便,也不安全。微软推荐的文件操作过滤方法是使用过滤驱动,在VISTA之后,推荐使用MINI...
文件系统Minifilter驱动()
听风
03-02 6144
安装Minifilter驱动XP及更新的Windows OS中,你应该用INF文件和一个安装应用程序来安装你的minifilter驱动. (2K及更早的OS中,minifilter 驱动一般是借助Service Control Manager安装的.)注意"基于INF的安装"仅仅意味着你需要使用一个INF文件来复制文件并存储信息到注册表中.你没有被要求用仅仅一个INF文件来安装你的整个产品
FltCreateCommunicationPort
最新发布
lydstory123的专栏
03-19 325
在用户模式应用程序中,使用。
wdk minifilter 自带示例的简要说明
jykj_007的专栏
03-26 6429
   最近要用wdk 7 的minifilter做一个文件过滤的东西,苦于没有资料可用,明明知道 winDDK/src/filesys/minifilter的范例很有用,但就是无从下手,google了半天(SB google.cn刚换马夹变成了google.hk,速度叫个慢哟),最终还是抱上了msdn的大腿, 居然在MSDN library> win32 and com development >
windows内科安全与驱动开发minifilter禁止txt文件打开demo
08-13
《寒江独钓 Windows内核安全编程》的miniflter简单介绍和使用,Minifilter驱动文件,用Minifilter.inf安装 UseMinifilter,应用层 Minifilter_dll ,应用层(客户程序和驱动层通信)
Windows驱动_文件系统微小过滤驱动之一初识MiniFilter
Z18_28_19的专栏
10-23 7018
人的一生,就那么几十年,所有的人都无法知道下一刻会发生什么,我们活在当下,只能努力将自己目前的工作或生活过好。船到桥头自然直,况且,自己这么多年,经历了多多少少的风浪太多了,说到底还是不够自信,我应该慢慢改正这个缺点。不要事事都杞人忧天,一定的危机感是需要的,但是千万不要过了。           由于原始的文件系统过滤驱动有一些缺陷,它使用了一些非常规的方法,有些驱动微软都无法做到全部的控
Windows驱动_文件系统微小过滤驱动之二驱动的安装和加载
热门推荐
Z18_28_19的专栏
10-28 1万+
机会总是留给有准备的人,人生只不过有6到7次机会,极少数的人抓住了,大部分的人,让机会从自己的身边溜走。在机会还没有到来的时候,千万不要气馁,也千万不要放弃。首先,认清自己,很多人,其实都没有将自己认识清楚,就去认清别人,认清世界。人跟人都是不一样的,想要的也不一样。所以,请记住,认清自己。在认清自己的前提下,在机会没有到来的时候,往自己的目标去努力,厚积薄发。没有机会,创造机会。不要给自己留下任
windows-file-filter.rar_windows_文件 过滤_文件过滤
09-19
文件过滤驱动是内核模式驱动,运行在较高的权限级别,能够直接与文件系统交互。常见的文件过滤驱动包括Microsoft的Minifilter和旧版的File System Monitor (FSM)。MinifilterWindows Vista及更高版本中推荐使用的...
一个简单的文件系统过滤驱动框架
Henzox的专栏
07-23 9377
一个简单的文件系统过滤驱动,抛去了大部分细节,留下了一个简单的框架,其实文件系统过滤驱动蛮简单的,很多接口可以不用实现,只要知道大致流程,其它都将会很清晰。
MiniSpy可抓取ListView内容版
07-14
有时需要将其它软件中的ListView中的内容抓取并导出到纯文本文件。下载了MiniSpy2.1源码略改了一下使它支持对ListView中的内容抓取并导出到纯文本文件。
Windows文件系统过滤管理器之微过滤驱动开发指南
峥嵘岁月
02-27 9486
Windows文件系统过滤管理器之微过滤驱动开发指南   0.译者序 对我来说,中文永远是最美,最简洁,最精确和最高雅的文字。 本文翻译仅仅用做交流学习。我不打算保留任何版权或者承担任何责任。不要引用到赢利出版物中给您带来版权官司。本文的翻译者是楚狂人,如果有任何问题,你可以通过邮箱MFC_Tan_Wen@163.com,或者是QQ16191935,或者是MS
Windows内核沙盒原理详解
tianxilink的博客
09-01 1138
沙盒​ 在计算机领域指一种虚拟技术,它实际上是一种安全体系,且多用于计算机安全技术。其原理是通过重定向技术,把程序生成和修改的文件定向到自身文件夹中。本文主要探讨沙盒的内核实现原理
Minifilter过滤框架:框架介绍以及驱动层和应用层的通讯
首席技术总监的专栏
03-13 1711
minifilter是sfilter后微软推出的过滤驱动框架。相比于sfilter,他更容易使用,需要程序员做的编码更简洁。 系统为minifilter专门制作了一个过滤管理器,这个管理器本身其实是一个传统过滤驱动,它向minifilter的使用者提供许多接口,让原本复杂的文件过滤驱动变得方便简单。之所以简单是因为传统的过滤驱动把大量的工作放在绑定设备上,而现在这些工作都交给minifilt...
FltRegisterFilter 调用失败的处理
Loong的专栏
04-08 1479
  FltRegisterFilter 调用失败的处理  今天准备调试昨天的一个mini filter 的时候,突然系统蓝屏了,感觉很奇怪,因为在以前是没有问题,而且这几天也没有改过代码,怎么突然有问题了呢?于是启动 windDBG 进行调试。   一 调试    在DriverEntry 里下了断点,运行到 FltRegisterFilter 时,...
wdk 下的 FltRegisterFilter
lhj6105_lhj的专栏
08-21 1330
NTSTATUS   FltRegisterFilter(     IN PDRIVER_OBJECT  Driver,     IN CONST FLT_REGISTRATION  *Registration,     OUT PFLT_FILTER  *RetFilter     );  1.  参数介绍 1.1 Driver 通过DriverEntry 传递进来的。
Windows驱动_文件系统微小过滤驱动之四上下文空间
Z18_28_19的专栏
10-30 2600
今天看到了WSK,又有事情做了,一直是这样,肯定不行,我要想办法,当然,人千万不能漂起来,因为,自己不说很成熟,但是已经工作了这么多年。经过的事情,见过的人已经很多了。对于,自己,我觉得,应该有着相当的自信,因为,这么多年来,我一直在严格要求自己,从来没有放松过对自己的要求。现在的这个世界,已经,变成了一个爆发的世界,各种各样的人,都可以表演,只要敢做,就有机会,虽然难,但是比之前的环境要好很多。
Processing I/O Operations
xbgprogrammer的专栏
12-17 1140
过滤管理器简化了minifilter驱动处理IO操作的过程,传统过滤驱动必须将IO请求传递至下一层驱动、正确处理挂起、同步、IO完成等,而minifilter只注册必须处理的IO请求。 对于一个给定的IO操作,只有当minifilter驱动注册了preoperation回调函数时,过滤管理器才会调用minifilter驱动过滤管理器会代表minifilter驱动拷贝栈参数、传递IRP Pend
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值