Minifilter过滤命名管道和邮槽的一些问题

最新推荐文章于 2023-08-31 17:06:53 发布
原创 最新推荐文章于 2023-08-31 17:06:53 发布 · 1.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#minifilter #命名管道 #邮槽 #NamedPipe

本文探讨了在Windows 8及更高版本操作系统中,通过使用FLTFL_REGISTRATION_SUPPORT_NPFS_MSFS标志,如何利用minifilter驱动的IRP_MJ_CREATE和IRP_MJ_CREATE_NAMED_PIPE操作来有效监控命名管道的创建和连接事件。文中详细展示了代码示例,解释了如何注册回调函数以跟踪特定管道名称的活动。

最近有个需求需要监控管道的链接,IRP_MJ_CREATE过滤不到管道的创建和链接。

注册的IRP_MJ_CREATE_NAMED_PIPE这个irp的回调也一直不被调用。

OSR上老外也提了类似的问题:

  • https://community.osr.com/discussion/239743/can-a-minifilter-filter-a-non-file-devices-irps
  • https://community.osr.com/discussion/171174
  • https://community.osr.com/discussion/247489

最后一个OSR上的问题,老外提到了微软的minispy中的部分代码,这个代码是用在注册Filter的时候填写在 FLT_REGISTRATION结构中的flag,这个flag从Win8才开始支持!

在这里插入图片描述
后来也搜到了两篇文章,介绍了Win8的新特性,其中就提到了开始支持过滤命名管道和邮槽,也证明了上面老外提到的这件事。

  • http://fsfilters.blogspot.com/2011/09/whats-new-in-win8-for-file-system.html
  • http://fsfilters.blogspot.com/2014/01/getting-started-with-windows-file_23.html

下面是我写的minifilter代码,用来过滤创建或打开的管道名是wdy就把管道名和当前进程名字打印出来。

代码中注册了下面两个IRP的回调函数:

  • IRP_MJ_CREATE
  • IRP_MJ_CREATE_NAMED_PIPE

最终结果显示,当使用了FLTFL_REGISTRATION_SUPPORT_NPFS_MSFS 这个flag时,

IRP_MJ_CREATE可以监控到打开管道名为wdy的事件
IRP_MJ_CREATE_NAMED_PIPE可以监控到创建管道名为wdy的事件

这个验证结果和《Windows内核原理与实现》书中8.3节介绍的一样
在这里插入图片描述

当不使用FLTFL_REGISTRATION_SUPPORT_NPFS_MSFS属性时,两个IRP都监控不到管道的创建和打开。

微软官方对这个属性的介绍:

  • https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/fltkernel/ns-fltkernel-_fl
最低0.47元/天 解锁文章
Windows驱动_文件系统微小过滤驱动之五MiniFilter例程解析
Z18_28_19的专栏
10-30 7292
今天,上了下看雪,好久没上去了,现在的看雪,跟之前不一样了,刚毕业的那个时候,上面的大牛真是多,现在屈指可数了,可能这些大牛们,因为年纪的增长,已经不在一线了,或许因为家庭,每时间在论坛上逛了,也许都已经在创业了,现在这个APP泛滥的年代,意念想法,已经不靠技术了,也没有多少人在研究着技术,目前的中国还是有些浮躁,其实好好想想,现在所有的系统,芯片还是掌握在别人手上,不要谈Android,Win
精选_Minifilter驱动程序与用户层程序通信_源码打包
03-10
3. **命名管道**:使用Kernel32库中的CreateNamedPipeConnectNamedPipe函数,用户层程序驱动程序可以创建一个双向通信通道。这种方式提供了可靠的异步通信,适用于大量数据交换。 4. **文件系统流**:通过在...
使用Legacy Filters过滤创建打开命名管道
Sven的忘却日记
05-28 404
之前写的方法,都比较不正规,这次采用设备过滤器来拦截命名管道的创建打开,下面是效果图 代码: #include "ntifs.h" typedef struct { PDEVICE_OBJECT LowerDeviceObject; }DEVICE_EXTENSION,*PDEVICE_EXTENSION; PDEVICE_OBJECT g_MyFilterDevice = NULL; void DriverUnload(PDRIVER_OBJECT DriverObject) { DbgPri
nullfilter正常加载,callback不生效
丸子头的专栏
08-31 284
2,下载微软开源项目中的nullfilter.inf,修改一下:​​​​​​https://github.com/microsoft/Windows-driver-samples/blob/master/filesys/miniFilter/nullFilter/nullFilter.inf。我们可以看到在DbgView中就显示了我们在driver中输出的内容了。点击红色的卸载按钮,我们driver就被成功的卸载掉了,同时在DbgView中也可以看到我们在unload函数中写的输出了。
文件系统Minifilter驱动(五)
听风
03-02 6223
安装Minifilter驱动XP及更新的Windows OS中,你应该用INF文件一个安装应用程序来安装你的minifilter驱动. (2K及更早的OS中,minifilter 驱动一般是借助Service Control Manager安装的.)注意"基于INF的安装"仅仅意味着你需要使用一个INF文件来复制文件并存储信息到注册表中.你没有被要求用仅仅一个INF文件来安装你的整个产品
基于文件过滤驱动的文件创建监控程序 - MzfFileMonitor
05-14
最近几天看了楚狂人的文件过滤驱动的相关教程, 学习了下文件过滤驱动的编写, 不禁感叹楚狂人在文件过滤驱动方面的造诣. 学习之余写了这个小工具MzfFileMonitor. 代码是由sfilter扩展而来. 包括 R3 R0 代码. Ps:1. 此工具只记录创建成功的文件(不记录文件夹). 2. 驱动理论上支持XP - WIN7的系统.
MiniFilter内核与用户层通信实现Demo
“通信机制”则涵盖多种内核与用户空间通信的技术手段,如设备IO控制(IOCTL)、直接内存映射、ALPC(高级本地过程调用)或命名管道等,在本案例中极可能采用DeviceIoControl结合自定义IO控制码的方式实现消息传递。...
深入探究minifilter拦截技术与R3层通信实例
- 使用命名管道或套接字进行的通信 - 利用事件、信号量等同步机制 在具体实现中,开发者可以利用Filter Manager提供的接口来完成R3层的通信。例如,可以定义特定的IOCTL码,当需要向用户模式的应用程序发送...
你的观点被被人反驳了:这个观点忽略了一个至关重要的“桥梁”:Windows统一的I/O模型FltMgr的“全局视野”。 1. 统一的入口:CreateFile 在Windows中,无论是打开一个文件(CreateFile("C:\test.txt"))还是打开一个硬件设备(CreateFile("\\?\USB#VID_046D&PID_0825#...")),在用户层都调用同一个API:CreateFile。 在内核层,无论目标是文件还是设备,CreateFile调用最终都会生成一个主要功能码为IRP_MJ_CREATE的I/O请求包(IRP)。 这是关键的第一步:应用程序对摄像头的“打开”操作,对文件的“打开”操作,在内核层面被抽象成了同一种类型的请求。 2. FltMgr的“越界”能力 FltMgr(文件系统过滤管理器)虽然名字里有“文件系统”,但它在I/O路径中的位置非常核心,拥有拦截所有IRP_MJ_CREATE请求的能力,而不仅仅是发往文件系统的请求。 当你注册一个Minifilter并声明你对IRP_MJ_CREATE感兴趣时,FltMgr会为你设置一个全局的钩子。这意味着: 当一个IRP_MJ_CREATE的目标是C:\test.txt时,它会经过你的回调。 当一个IRP_MJ_CREATE的目标是\\?\USB#VID_...摄像头设备时,它同样会经过你的回调。 这是关键的第二步:Minifilter的拦截范围超出了其“名字”所暗示的范围,它实际上能“看到”所有创建操作。 3. 智能的名称解析:FltGetFileNameInformation 在PreCreate回调中,我们如何知道这个IRP_MJ_CREATE是发给文件还是设备呢?FltGetFileNameInformation函数为我们解决了这个问题。 如果IRP是发给文件系统的,它会返回文件名(如\Users\Public\Videos\sample.mp4)。 如果IRP是发给摄像头这样的设备,它会尽力去解析并返回设备的名称或符号链接(如\Device\USBPDO-3)。
最新发布
11-07
根据引用[4],minifilter从Win8开始支持过滤命名管道,但USB摄像头通常不使用命名管道。 因此,虽然理论上统一I/O模型将设备视为文件,但具体到摄像头设备,其I/O请求并不经过文件系统栈,所以...
文件系统Minifilter驱动
pyq881120的专栏
09-09 1万+
1.Filter管理器Minifilter驱动架构   Filter管理器是一个内核模式驱动,它遵照legacy文件系统filter模型并暴露了FSFD中必需的一般功能。利用这些功能,第三方开发者可以写minifilter驱动,这样的驱动比legacyFSFD更易于开发,因
MiniSpy可抓取ListView内容版
07-14
有时需要将其它软件中的ListView中的内容抓取并导出到纯文本文件。下载了MiniSpy2.1源码略改了一下使它支持对ListView中的内容抓取并导出到纯文本文件。
windows驱动写日志,有ZwFlt,记录操作某一文件夹的进程名
12-16
windows驱动写日志,可以获取进程的全路径(包含进程全名),有Zw系列函数的实现也有Flt系列函数的实现,用minifilter实现的
File System Mini Filter Driver Step by Step
fxismonk的专栏
11-25 1722
zz from: http://www.easefilter.com/Forums_Files/MiniFilterExample.htm minispy sample is a tool to monitor and log any I/O and transaction activity that occurs in the system. This sample is similar
一个简单的文件系统过滤驱动框架
Henzox的专栏
07-23 9485
一个简单的文件系统过滤驱动,抛去了大部分细节,留下了一个简单的框架,其实文件系统过滤驱动蛮简单的,很多接口可以不用实现,只要知道大致流程,其它都将会很清晰。
Windows驱动_文件系统微小过滤驱动之二驱动的安装加载
热门推荐
Z18_28_19的专栏
10-28 1万+
机会总是留给有准备的人,人生只不过有6到7次机会,极少数的人抓住了,大部分的人,让机会从自己的身边溜走。在机会还没有到来的时候,千万不要气馁,也千万不要放弃。首先,认清自己,很多人,其实都没有将自己认识清楚,就去认清别人,认清世界。人跟人都是不一样的,想要的也不一样。所以,请记住,认清自己。在认清自己的前提下,在机会没有到来的时候,往自己的目标去努力,厚积薄发。没有机会,创造机会。不要给自己留下任
进程挂靠后使用PsGetCurrentProcessId获取的进程ID不准
Sven的忘却日记
06-01 2153
如题,在使用KeStackAttachProcess挂靠到目标进程后,又调用了一系列子函数,此时并没有把EPROCESS传进去。 PEPROCESS pProcess = NULL; KAPC_STATE apc; NTSTATUS status = PsLookupProcessByProcessId((HANDLE)pid, &pProcess); if (NT_SUCCESS(status)) { KeStackAttachProcess(pProcess, &apc);
命名管道(Named Pipe)服务
maomao171314的专栏
11-30 4554
命名管道(Named Pipe)服务 1 命名管道的名称解析 在Windows中,管道的名称遵循Windows统一命名规范(UNC,Universal Naming Convention)。 命名管道的名称格式为\\<Server>\Pipe\<PipeName>。<Server>指定了一个命名管道的服务器所在的计算机名称,既可以是DNS名称,也可以是NetBIOS名称或者字符串形式的IP地址;<PipeName>是管道的唯一名,可以是层次结构中的一个.
[内核驱动] VS2012+WDK 8.0 Minifilter实现指定扩展名文件拒绝访问
weixin_34221773的博客
10-31 408
转载:http://blog.youkuaiyun.com/C0ldstudy/article/details/51585708 转载:http://blog.youkuaiyun.com/zj510/article/details/39344889 转载:http://blog.youkuaiyun.com/zj510/article/details/39345479 转载:http://www.cnblogs.com/js...
Windows MiniFilter过滤驱动开发指南
Windows MiniFilter过滤驱动开发指南涵盖了在Windows操作系统中开发文件系统过滤驱动程序的核心概念技术细节。MiniFilter是一种文件系统过滤驱动,它运行在文件系统驱动之上,用于监控处理文件系统相关的活动,...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值