文件过滤驱动中 IRP_MJ_XX_INFORMATION 查询文件对象是文件还是目录的方法

最新推荐文章于 2020-12-21 06:22:26 发布
原创 最新推荐文章于 2020-12-21 06:22:26 发布 · 730 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#过滤驱动 目录 文件对象

本文探讨了WDK中IRP_MJ_XX_INFORMATION请求的处理方式,特别是如何确定文件对象是否代表文件或目录。介绍了FltQueryInformationFile()函数的应用,并列举了不同文件IO操作对应的IRQL级别。

首先,WDK 中关于 IRP_MJ_XX_INFORMATION 请求有这样一段话

“The file system driver should extract and decode the file object to determine whether it represents a user file or directory open”

可是文件对象中没有找到那个地方标记了对象是文件还是目录。于是只能使用函数查询

FltQueryInformationFile()  这个函数只能运行在 IRQL==PASSIVE_LEVEL

不过幸好,微软给出了每个文件IO对应的IRQL 如下,IRP_MJ_XX_INFORMATION 刚刚好在 PASSIVE_LEVEL



Dispatch Routine IRQL and Thread Context

The following table summarizes the IRQL and thread context requirements for file system filter driver dispatch routines.

Dispatch routineCaller's IRQL:Caller's thread context:
CleanupPASSIVE_LEVELNonarbitrary
CloseAPC_LEVELArbitrary
CreatePASSIVE_LEVELNonarbitrary
DeviceControl (except paging I/O)PASSIVE_LEVELNonarbitrary
DeviceControl (paging I/O path)APC_LEVELArbitrary
DirectoryControlAPC_LEVELArbitrary
FlushBuffersPASSIVE_LEVELNonarbitrary
FsControl (except paging I/O)PASSIVE_LEVELNonarbitrary
FsControl (paging I/O path)APC_LEVELArbitrary
LockControlPASSIVE_LEVELNonarbitrary
PnPPASSIVE_LEVELArbitrary
QueryEaPASSIVE_LEVELNonarbitrary
QueryInformationPASSIVE_LEVELNonarbitrary
QueryQuotaPASSIVE_LEVELNonarbitrary
QuerySecurityPASSIVE_LEVELNonarbitrary
QueryVolumeInfoPASSIVE_LEVELNonarbitrary
Read (except paging I/O)PASSIVE_LEVELNonarbitrary
Read (paging I/O path)APC_LEVELArbitrary
SetEaPASSIVE_LEVELNonarbitrary
SetInformationPASSIVE_LEVELNonarbitrary
SetQuotaPASSIVE_LEVELNonarbitrary
SetSecurityPASSIVE_LEVELNonarbitrary
SetVolumeInfoPASSIVE_LEVELNonarbitrary
ShutdownPASSIVE_LEVELArbitrary
Write (except paging I/O)PASSIVE_LEVELNonarbitrary
Write (paging I/O path)APC_LEVELArbitrary

keidoekd2345
关注
64位驱动开发之读写驱动程序IRP_MJ_READ和IRP_MJ_WRITE的IO
a756598009的博客
06-13 1254
读写驱动程序IRP_MJ_READ和IRP_MJ_WRITE的IO请求包(IRP)
VRV.rar_文件 过滤_文件过滤驱动
09-24
【标题】"VRV.rar_文件 过滤_文件过滤驱动"涉及的核心概念是文件过滤驱动,这是一种在操作系统层面上实现文件系统保护的技术。文件过滤驱动(File Filtering Driver)是Windows操作系统内核模式驱动程序的一部分,它...
IFS文件过滤驱动程序开发之IRP文件操作接口的终极实现代码.zip
01-28
IFS文件过滤驱动程序开发之IRP文件操作接口的终极实现代码.zip
IRP_MJ_SET_INFORMATION
死胖子的博客
03-05 2361
IRP_MJ_SET_INFORMATION 什么时候发送 IO管理器和其他操作系统组件,其他内核模式驱动程序发送 IRP_MJ_SET_INFORMATION 请求。例如当用户模式下的应用程序调用一个像SetEndOfFile 的微软Win32函数,或者是内核模式下的组件调用ZwSetInformationFile时会发送这个请求。 操作:文件系统驱动程序 文件系统驱动程序应当提取和解码
less加管道tail_Linux之cat tail less常见用法
weixin_39957934的博客
12-21 259
1.cat通常查找出错误日志 cat error.log | grep 'foo' , 这时候我们还有个需求就是输出当前这个日志的前后几行:cat error.log | grep -C 10 'foo' #显示file文件里匹配foo字串那行以及上下10行cat error.log | grep -B 10 'foo' #显示foo及前10行cat error.log | grep -A 10 ...
读懂常见IRP:IRP_MJ_CLEANUP/IRP_MJ_CLOSE/IRP_MJ_CREATE
07-13 5651
IRP_MJ_CLEANUP保持进程定义上下文信息的驱动器,必须在DispatchCleanup中包含cleanup请求。何时发送: 收到IRP_MJ_CLEANUP意味着请求的目标设备与目标文件的句柄相关(也可能因为io请求后没有释放)入参: 无出参: 无操作: 该IRP在关闭 file object 句柄的进程上下文中发送。因此,驱动器应该释放进程上下文中所指
关于隐藏文件
stecdeng的专栏
05-23 1286
学了文件过滤驱动,其实多少都要尝试下文件夹隐藏,网络上关于这些的讲解和代码都不少。 主要是使用文件过滤驱动 监控IRP_MJ_DIRECTORY_CONTROL的IRP,对其返回的FILE_BOTH_DIR_INFORMATION结构进行过滤和修改达到我们隐藏我们指定的文件夹的目的。FILE_BOTH_DIR_INFORMATION结构体如下:[code] typedef struc
windows-file-filter-system-frame.rar_file system filter_文件过滤驱动
09-24
每个文件操作对应一个IRP文件过滤驱动需要识别并处理与文件系统相关的IRP,如IRP_MJ_CREATE、IRP_MJ_READ、IRP_MJ_WRITE等。 3. **注册表配置**:驱动的安装和卸载通常涉及注册表的修改,以将驱动添加到系统中并...
在Windows文件系统过滤驱动开发中,如何正确处理IRP_MJ_CREATE请求,以实现文件操作的监控和过滤
最新发布
11-04
处理IRP_MJ_CREATE请求是文件系统过滤驱动开发中的关键步骤,因为它是打开文件时发出的第一个请求。为了有效地监控和过滤文件操作,开发者需要掌握如何在过滤驱动中捕获并处理IRP_MJ_CREATE请求。根据《Windows文件...
file_system_filter_driver_introduce.rar_filter driver_文件过滤_文件过滤
09-20
2. **回调函数**:文件过滤驱动的关键在于定义一系列回调函数,如`IRP_MJ_CREATE`、`IRP_MJ_READ`、`IRP_MJ_WRITE`等,这些函数会在对应I/O操作发生时被调用。开发者可以在这些回调中实现自己的业务逻辑,比如添加...
使用WinDBG进行双机内核调试
wzwind的专栏
12-17 1655
标 题: 使用WinDBG进行双机内核调试作 者: xIkUg时 间: 2006-11-10 21:16 链 接: http://bbs.pediy.com/showthread.php?threadid=34731 详细信息: 使用WinDBG进行双机内核调试 By xikug.xp版本:1.0 作者:xIkUg/RCTxikug.xp [at] gmail [dot] com我
<学习笔记>Windows驱动开发技术详解__派遣函数
The New Old Things
09-23 4563
派遣函数是Windows驱动程序中的重要概念。驱动程序的主要功能是负责处理I/O请求,其中大部分I/O请求是在派遣函数中处理的。 用户模式下所有对驱动程序的I/O请求,全部由操作系统转换为一个叫做IRP数据结构,不同的IRP会被“派遣”到不同的派遣函数中。 IRP与派
过滤驱动程序创建IRP查询文件信息
峥嵘岁月
02-04 5911
在开发Windows下文件系统过滤驱动程序时,我们经常需要先查询一下文件的属性信息,为了实现这个小目标,可以调用Windows Native API函数ZwQueryInformationFile并提供希望查询文件信息类的名字及结构即可。不过如果我们在驱动程序当中自己处理信息查询请求,可以避免IRP重入的问题。1.自己创建文件信息查询IRPNTSTATUSQueryFileInforma
面向Windows的文件透明加解密解决方案(3)——透明加解密驱动程序二
热门推荐
某熊的技术之路
05-31 1万+
3.3关键技术详解 对于用户的文件操作请求,Windows 用户层中对文件的各种操作映射到微过滤驱动中就转化为类型为Create,Read,Write 和Close 等的I/O 操作,因此只要对这些操作的内容进行过滤处理,即可达到透明加解密的目的。首先在IRP_MJ_CREATE 中查询目标文件是否是监控文件类型,创建一个StreamContext 并附着在文件对象上,并在StreamConte
文件加密标识 -隐藏文件头的黑客代码
05-15 2052
//This module hooks:// IRP_MJ_READ, IRP_MJ_WRITE, IRP_MJ_QUERY_INFORMATION,// IRP_MJ_SET_INFORMATION, IRP_MJ_DIRECTORY_CONTROL,// FASTIO_QUERY_STANDARD_INFO FASTIO_QUERY_BASIC_INFO FASTIO_READ(WRITE)/
驱动开发学习笔记
迈克揉索芙特
01-02 3779
1、三种类型的WDM驱动程序   总线驱动程序(bus driver)   功能驱动程序(function driver)   过滤驱动程序(filter driver)2、其他分类方法   类驱动程序(class driver)   端口驱动程序(port driver)   小端口驱动程序(miniort driver)3、驱动对象(DRIVER_OBJECT)主要成员   Devic
文件系统Minifilter驱动(三)
听风
03-02 1万+
5).管理文件名filter管理器消除了legacy过滤驱动重获和管理文件名所必需的许多工作。当一个名被请求时,filter管理器在引用计数结构中以适当的格式为当前操作提供名: 规范名, opened名或短名.  minifilter驱动可以调用FltGetDestinationFileNameInformation 来为正被rename或其NTFS hard link正被创建的文件
Notepad 打开文本文件所看到的 IRP
free2o的专栏
04-21 3841
双击打开文本文件,看到notepad 发了下面这些 IRP IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION IRP_MJ_QUERY_INFORMATION IRP_MJ_RELEASE_FOR_SECTION_SYNCHRONIZATION IRP_MJ_CLEANUP IRP_MJ_CLOSE ----------------
HIPS(Sfilter)
kernweak的博客
06-04 418
文件过滤那么就是相关分发函数的处理 FilterCreate(创建) FilterRead(一般不拦截,加解密处理) FilterWrite(修改,加解密处理) FilterSetInfo(删,重命名,IRP_MJ_SET_INFORMATION) Filterclose(一般不拦截,写关闭拦截) FIlterClean(写关闭) 代码片段 DriverObject->...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值