文件系统过滤驱动 重要系统调用总结--part1

最新推荐文章于 2020-05-09 23:24:23 发布
原创 最新推荐文章于 2020-05-09 23:24:23 发布 · 1.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#system #file #function #object #io

本文介绍了一种实现卷设备监控及文件系统变化通知的方法。主要包括生成控制设备、设置派发函数、注册文件系统通知回调等步骤。通过这些步骤可以实现在文件系统挂载或卸载时的通知。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

第一步.生成一个控制设备。当然此前你必须给控制设置指定名称。  

第二步.设置 Dispatch Functions. 设置 Fast Io Functions.  

第三步.编写一个 File System Notify 回调函数,在其中绑定刚激活的 FS CDO. 并注册这个回调函数。 

第四步.编写默认的 dispatch functions.  

第五步.处理 IRP_MJ_FILE_SYSTEM_CONTROL,在其中监控卷设备的 Mount和 Dismount.

 

 

DriverEntery:程序入口点函数,在其中通过IoCreateDevice函数生成CDO(控制设备对象),设置dispatch function, 通过IoRegisterFsRegistrationChange注册回调函数SfFsNotification当系统中有任何文件系统被激活或者是被注销的时候,注册过的回调函数就会被调用,在其中绑定CDO

 

IoCreateDevice:生成的CDO保存在最后一个参数里

 

SfFsNotification:回调函数,调用SfAttachToFileSystemDevice

 

SfAttachToFileSystemDevice:检查设备类型,生成新设备,调用SfAttachDeviceToDeviceStack进行绑定

 

SfAttachDeviceToDeviceStack:通过系统调用IoAttachToDeviceStack绑定设备对象device objectDO)到设备栈顶端,这样IRP会首先到达

 

SfFsControl:相应当有卷mount或dismount时,产生的IRP_MJ_FILE_SYSTEM_CONTROL,调用SfFsControlMountVolume绑定卷设备

 

SfFsControlMountVolume:使用事件同步的方法,创建事件,等待完成函数SfFsControlMountVolumeComplete设置事件

 

 SfFsControlMountVolumeComplete:调用SfAttachToMountedDevice

 

SfAttachToMountedDevice:调用SfAttachDeviceToDeviceStack完成卷绑定

 

 

 

 

 

 

 

 

 

 

【windows内核驱动开发】文件系统过滤驱动Minifilter——绑定指定的卷(磁盘分区)
zcr214的博客
11-28 4250
【我的】文件系统过滤驱动Minifilter——绑定指定的卷(磁盘分区) 作者:zcr214 时间:2016/4/21   在编写文件系统过滤驱动minifilter的时候,很有可能我们只对某一个特定的磁盘分区感兴趣,而其他的如系统盘的很多IRP对于我们要编写的驱动可能是不关注的,所以有必要使得我们的驱动只绑定指定的这个卷,从而减少其他的IRP带来的干扰,节省很多处理流程,比如系统盘的很
发掘文件系统过滤驱动的应用
05-15 1364
"FSFilter Activity Monitor"          活动监控"FSFilter Anti-Virus"                杀毒"FSFilter Bottom"                    ??"FSFilter Cluster File System"      集群文件系统"FSFilter Compression"              压缩"
SEFS 文件 过滤 驱动 C# VS .NET 2008 DEMO 实现
11-21
实现SEFS 的TestApp C# 实现,虽然实现了但是发现些问题,希望大家有需要的和我交流 QQ162034282
文件系统过滤驱动(开篇)
winglet的专栏
04-24 975
"Welcome to the "how hard could it be to write an encryption filter?" club.  It may not make you feel better, but you are merely the latest in a string of people asking these same questions for the pa
一个简单的文件系统过滤驱动框架
Henzox的专栏
07-23 9446
一个简单的文件系统过滤驱动,抛去了大部分细节,留下了一个简单的框架,其实文件系统过滤驱动蛮简单的,很多接口可以不用实现,只要知道大致流程,其它都将会很清晰。
文件系统过滤驱动
weixin_33725239的博客
05-16 276
01、创建控制设备对象: 文件系统过滤驱动的DriverEntry例程通常以创建控制设备对象作为该例程的起始。创建控制设备对象的目的在于允许应用程序即使在过滤驱动加载到文件系统或卷设备对象之前也能够直接与过滤驱动进行通信。 注意:文件系统也会创建控制设备对象。当文件系统过滤驱动将其自身附加到文件系统之上时(而不是附加到某一特定文件系统卷),过滤驱动...
深入分析Win32k系统调用过滤机制
weixin_34262482的博客
08-01 565
前言 Windows内核漏洞的利用具有高风险,经常用于浏览器沙箱逃逸。许多年以来,发现的大多数漏洞都是来源于Win32k.sys驱动,它负责处理来自GDI32.DLL和user32.dll的调用。为了缓解这些漏洞,微软在window10上实现了Win32系统调用过滤.总体思路是在进程入口处尝试阻止大量的发往win32.sys的系统调用,以便阻止未知的漏...
Windows驱动开发技术详解的光盘-part1
07-06
本书共分23章,内容涵盖了Windows操作系统的基本原理、NT驱动程序与WDM驱动程序的构造、驱动程序中的同步异步处理方法、驱动程序中即插即用功能、驱动程序的各种调试技巧等。同时,还针对流行的PCI驱动程序、USB驱动...
windows驱动开发技术详解-part2
07-06
这是书的光盘。共分为两个部分,这是第一部分。 本书由浅入深、循序渐进地... 本章总结了在内核模式下的四种等待方法,读者可以利用这些方法灵活地用在自己的驱动程序中。最 后本章还介绍了如何对IRP的超时情况进行...
Kernel-Debug-Series-Part3-printk
04-02
2. 日志级别控制:通过`syslog`系统调用或者`/etc/sysctl.conf`配置文件,可以改变内核日志级别,以控制哪些级别的信息被记录。 3. 输出重定向:默认情况下,printk消息被发送到控制台。但也可以通过串口、网络或...
TCP-IP详解卷2:实现.part1
05-28
《TCP-IP详解》共3卷,其他卷请到我空间下载,第2卷共分两个part,请下载完两个part后在解压。本书完整而详细地介绍了TCP/IP协议是如何实现的。书中给出了约500个图例,15 000行实际操作的C代码,采用举例教学的方法...
windows 文件系统过滤驱动教程与相关文档!!!
03-27
windows 文件系统过滤驱动教程与相关文档!!!!!!
Windows 文件过滤驱动经验总结
03-05 2902
作者:ai3000本文转载自驱动开发网看了 ChuKuangRen 的第二版《文件过滤驱动开发教程》后,颇有感触。我想,交流都是建立在平等的基础上,在抱怨氛围和环境不好的同时应该先想一想自己究竟付出了多少?只知索取不愿付出的人也就不用抱怨了,要怪也只能怪自己。发自己心得的人无非是两种目的,一是引发一些讨论,好纠正自己错误的认识,以便从中获取更多的知识使自己进步的更快。二是做一份备忘,当自己遗忘
文件过滤驱动-隐藏目标文件
weixin_30357231的博客
12-22 215
代码是精简了sfilter中的代码,其实不如直接用寒江独钓里面的方法把sfilter编译成静态库 #include <ntddk.h> #include <string.h> #include "ScDetectiveFilter.h" PDRIVER_OBJECT pdoGlobalDrvObj = NULL; PDEVICE_OBJECT p...
文件过滤驱动DEMO版
lionzl的专栏
03-17 597
看了很久的文件系统过滤驱动相关教程,但一直抓不住过滤驱动代码的大框架,一直在过滤驱动的代码中找不到北。偶然看到了一篇英文版教程,读后豁然开朗,学习的过程中记录了以下文字,拿出来与大家分享。 感谢作者,原作地址(http://www.codeproject.com/KB/sy ... river-tutorial.aspx) 代码是那篇英文教程的,代码注释换成了我自己的理解。这些代码忽略掉了请多
sfilter
sunhf_my的专栏
05-24 2265
整理自:http://topic.youkuaiyun.com/t/20060629/11/4849948.html 好资料如下:     书:Windows   NT   File   System   Internals,IFS   DDK文档。     零碎资料:驱动开发网,OSR(它的新闻组很赞),sysintels.com,以及DDK的源代码。         最后
《Windows内核安全与驱动编程》-第十一章文件系统过滤与监控-day4
WocW的博客
05-09 507
文件系统过滤 11.4 文件系统控制设备的绑定 11.4.1 生成文件系统控制设备的过滤设备 接下来要生成过滤设备,这里再次用到设备拓展。下面给出过本过滤设备设备拓展的数据结构。 typedef struct _SFILTER_DEVICE_EXTENSION{ //绑定的文件系统设备(真实设备) PDEVICE_OBJECT AttachedToDeviceObject; //与文件系统设备相关的真实设备,这个在绑定时使用 PDEVICE_OBJECT StorageS
《Windows内核安全与驱动编程》-第十一章文件系统过滤与监控-day3
WocW的博客
05-08 484
文件系统过滤与监控 11.3 设备的绑定前期工作 11.3.1 动态地选择绑定函数 ​ sfilter 有一个有趣的地方是,使用了动态加载的方法来使用内核函数。只有高版本的Windows系统上才有IoAttachDeviceToDeviceStackSafe 这个函数。如果我们直接使用这个函数,那么在低版本的Windows系统上就会直接加载失败。因此,使用动态加载此类函数的好处就是,即使在低版本的Windows上也能成功加载。 ​ 在动态加载该函数时,如果失败则会使指针为NULL,而此时即使为NULL,我
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值