MiniFilter文件过滤

已于 2025-01-10 14:27:07 修改
阅读量336 收藏 4
点赞数 7
分类专栏: windows内核 文章标签: 系统安全 windows 驱动开发 学习
于 2025-01-09 18:09:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_45844442/article/details/145039515
版权

文章目录

概述

MiniFilter文件过滤驱动整体代码都比较死板,没有太多的流程内容,它的建立本质也是为了方便处理IRP请求,通过注册相应的前回调和后回调以对相应的文件做过滤操作处理,以下代码示例为阻止一个名为name.txt文件的写入操作

注意事项

使用inf配置文件,需要将Class、ClassGuid、Altitude等属性设置一下,随后将其与sys放在一起安装后,使用命令net start ServiceName 和 net stop ServiceName 进行启用和关闭服务,其中ServiceName 为创建的服务名

代码

#include <fltKernel.h>
#include <dontuse.h>

FLT_POSTOP_CALLBACK_STATUS MiniPostCreate(PFLT_CALLBACK_DATA Data, PCFLT_RELATED_OBJECTS FlstObjects, PVOID* CompletionContext, FLT_POST_OPERATION_FLAGS flags);
FLT_PREOP_CALLBACK_STATUS MiniPreCreate(PFLT_CALLBACK_DATA Data, PCFLT_RELATED_OBJECTS FlstObjects, PVOID* CompletionContext);
FLT_PREOP_CALLBACK_STATUS MiniPreWrite(PFLT_CALLBACK_DATA Data, PCFLT_RELATED_OBJECTS FlstObjects, PVOID* CompletionContext);
NTSTATUS MiniUnload(FLT_FILTER_UNLOAD_FLAGS Flags);

const FLT_OPERATION_REGISTRATION Callbacks[] = {
	{IRP_MJ_CREATE,0,MiniPreCreate,MiniPostCreate},
	{IRP_MJ_WRITE,0,MiniPreWrite,NULL},
	{IRP_MJ_OPERATION_END}
};

FLT_REGISTRATION registration = { sizeof(FLT_REGISTRATION),FLT_REGISTRATION_VERSION,0,NULL,Callbacks,MiniUnload,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL };
PFLT_FILTER retfilter = NULL;


NTSTATUS MiniUnload(FLT_FILTER_UNLOAD_FLAGS Flags)
{
	KdPrint(("过滤驱动已卸载!\n"));
	FltUnregisterFilter(retfilter);

	return STATUS_SUCCESS;
}

FLT_POSTOP_CALLBACK_STATUS MiniPostCreate(PFLT_CALLBACK_DATA Data, PCFLT_RELATED_OBJECTS FlstObjects, PVOID* CompletionContext,FLT_POST_OPERATION_FLAGS flags)
{
	KdPrint(("Create File Post\r\n"));
	return FLT_POSTOP_FINISHED_PROCESSING;
}

FLT_PREOP_CALLBACK_STATUS MiniPreCreate(PFLT_CALLBACK_DATA Data, PCFLT_RELATED_OBJECTS FlstObjects, PVOID* CompletionContext)
{
	PFLT_FILE_NAME_INFORMATION filenameinfo = { 0 };
	WCHAR Name[260] = { 0 };
	NTSTATUS status = FltGetFileNameInformation(Data, FLT_FILE_NAME_NORMALIZED | FLT_FILE_NAME_QUERY_DEFAULT, &filenameinfo);
	if (NT_SUCCESS(status))
	{
		status = FltParseFileNameInformation(filenameinfo);

		if (NT_SUCCESS(status))
		{
			if (filenameinfo->Name.MaximumLength < 260)
			{
				RtlCopyMemory(Name, filenameinfo->Name.Buffer,filenameinfo->Name.MaximumLength);
				KdPrint(("Create File :%ws \r\n", Name));
			}
		}
		FltReleaseFileNameInformation(filenameinfo);

	}
	return FLT_PREOP_SUCCESS_WITH_CALLBACK;
}

FLT_PREOP_CALLBACK_STATUS MiniPreWrite(PFLT_CALLBACK_DATA Data, PCFLT_RELATED_OBJECTS FlstObjects, PVOID* CompletionContext)
{
	PFLT_FILE_NAME_INFORMATION filenameinfo = { 0 };
	WCHAR Name[260] = { 0 };
	NTSTATUS status = FltGetFileNameInformation(Data, FLT_FILE_NAME_NORMALIZED | FLT_FILE_NAME_QUERY_DEFAULT, &filenameinfo);
	if (NT_SUCCESS(status))
	{
		status = FltParseFileNameInformation(filenameinfo);

		if (NT_SUCCESS(status))
		{
			if (filenameinfo->Name.MaximumLength < 260)
			{
				RtlCopyMemory(Name, filenameinfo->Name.Buffer, filenameinfo->Name.MaximumLength);

				_wcsupr(Name);
				if (wcsstr(Name, L"NAME.TXT") != NULL)
				{
					//锁定目标文件写入操作
					KdPrint(("Block File Name:%ws\r\n",Name));
					Data->IoStatus.Status = STATUS_INVALID_PARAMETER;
					Data->IoStatus.Information = 0;
					FltReleaseFileNameInformation(filenameinfo);

					return FLT_PREOP_COMPLETE;
				}
				KdPrint(("Write File :%ws \r\n", Name));
			}
		}
		FltReleaseFileNameInformation(filenameinfo);

	}
	return FLT_PREOP_SUCCESS_NO_CALLBACK;
}


NTSTATUS DriverEntry(PDRIVER_OBJECT Driverobject, PUNICODE_STRING RegistryPath)
{
	NTSTATUS status = STATUS_SUCCESS;


	status = FltRegisterFilter(Driverobject, &registration, &retfilter);

	if (NT_SUCCESS(status))
	{
		status = FltStartFiltering(retfilter);
		if (!NT_SUCCESS(status))
		{
			FltUnregisterFilter(retfilter);
		}
	}

	return status;
}

参考资料

File System Filter - Minifilter

基于Minifilter文件过滤驱动以及与应用层通讯(付代码)
C++入门到放弃
11-06 6858
实现应用层与驱动程序通讯,控制驱动程序,发送路径,达到指定目录禁止访问的目的。
Minifilter微过滤框架:框架介绍以及驱动层和应用层的通讯
扣的CODE
08-30 8705
minifilter是sfilter后微软推出的过滤驱动框架。相比于sfilter,他更容易使用,需要程序员做的编码更简洁。系统为minifilter专门制作了一个过滤管理器,这个管理器本身其实是一个传统过滤驱动,它向minifilter的使用者提供许多接口,让原本复杂的文件过滤驱动变得方便简单。之所以简单是因为传统的过滤驱动把大量的工作放在绑定设备上,而现在这些工作都交给minifilter中的
MiniFilter教程
07-31
文件过滤驱动文件过滤驱动 MiniFilter教程
Windows内核驱动 - MiniFilter文件系统过滤
最新发布
dxf1971738522的博客
03-04 383
Windows基于DDK/WDK的内核驱动开发
Minifilter
qq_41490873的博客
09-17 1643
Minifilter特点 在Minifilter框架中,不在需要自己去写代码生成设备,去绑定卷.这些框架已经做好了.唯一需要我们做的就是在Callback中处理我们感兴趣的回调函数而已. 创建文件 使用FltCreateFile 不能再使用ZwCreateFile 通信方式 在minifilter中改为通过端口通信. 驱动加载 使用inf文件安装 然后使用命令net start +驱动名 或者使用代码的方式加载,与NT驱动不同的是,需要新增两个注册表键值. Minifilter的注册 CONST FLT_
minifilter
敟當柒秒哋魚
12-20 3337
minifilter透明加解密源码 http://bbs3.driverdevelop.com/read.php?tid=119736 http://bbs3.driverdevelop.com/read.php?tid=111662 http://bbs3.driverdevelop.com/read.php?tid=110838 http://bbs3.driverdevelo
Minifilter知识总结
weixin_34221775的博客
05-07 640
Minifilter注重功能实现,不注重更深层的IRP之类的操控 编写Minifilter的第一件事是向过滤器宣告我们的微过滤器的存在。这里所谓的微过滤器是符合过滤器标准的过滤组件,它其实是一组回调函数,这组回调函数向过滤管理器注册之后,在合适的时机(比如,要求的文件操作发生时)过滤管理器就会以合适的方式来调用某个回调函数。 如果我们编写这个回调函数中的内容,就可以对文件系统加以过滤了。这比花很...
windows内科安全与驱动开发minifilter禁止txt文件打开demo
08-13
《寒江独钓 Windows内核安全编程》的miniflter简单介绍和使用,Minifilter驱动文件,用Minifilter.inf安装 UseMinifilter,应用层 Minifilter_dll ,应用层(客户程序和驱动层通信)
基于微过滤器Minifilter的MiniSpy源码文件过滤驱动
10-30
本文将深入探讨基于微过滤器(Minifilter)的MiniSpy源码文件过滤驱动,以及它如何实现对文件操作的全面监控。 微过滤器(Minifilter)是微软在Windows操作系统中引入的一种新型文件系统过滤驱动模型,它是File ...
Windows驱动_文件系统微小过滤驱动之一初识MiniFilter
Z18_28_19的专栏
10-23 7021
人的一生,就那么几十年,所有的人都无法知道下一刻会发生什么,我们活在当下,只能努力将自己目前的工作或生活过好。船到桥头自然直,况且,自己这么多年,经历了多多少少的风浪太多了,说到底还是不够自信,我应该慢慢改正这个缺点。不要事事都杞人忧天,一定的危机感是需要的,但是千万不要过了。           由于原始的文件系统过滤驱动有一些缺陷,它使用了一些非常规的方法,有些驱动微软都无法做到全部的控
MiniFilter进程运行监控
02-26
MiniFilter进程运行监控是一种利用微软Windows操作系统中的微文件过滤框架(Minifilter)技术来实现对文件系统操作的深度监控和保护的程序。这个程序的主要功能包括备份被其他进程删除的文件以及对注册表活动进行...
miniFilter(所有框架代码以及对应的PPT资料,可以直接拿来进行修改即可完成各种驱动)
07-24
miniFilter(所有框架代码以及对应的PPT资料,可以直接拿来进行修改即可完成各种驱动)
Minifilter: Windows 文件系统过滤驱动的轻量级解决方案
gitblog_00074的博客
04-21 1022
Minifilter: Windows 文件系统过滤驱动的轻量级解决方案 项目地址:https://gitcode.com/gh_mirrors/mi/Minifilter 项目简介 是一个开源项目,它提供了一种简单的方法来创建Windows文件系统的过滤驱动程序。作为一个低级别的系统组件,Minifilter允许开发者监控和控制文件操作,如读取、写入、删除和创建等,为各种安全、备份或数据管理应用...
驱动开发】文件系统微过滤驱动Minifilter
qq_42814021的博客
04-13 1363
驱动开发】文件系统微过滤驱动Minifilter
C++ 遍历 MiniFilter
LYSM
05-09 562
目的 实现一个类似 PCHunter 中的一个功能: 代码 功能参考:https://write-bug.com/article/2503.html 其余参考:https://blog.youkuaiyun.com/Simon798/article/details/103308039 // 获取 Operations 偏移 LONG GetOperationsOffset(){ // 初始化 RTL_OSVERSIONINFOW osInfo = { 0 }; LONG lOperationsOffset =
Minifilter 优点介绍(转)
huyuehuyuehuyue的专栏
10-15 1130
提起Minifilter大家可能都已经非常熟悉了,它是Microsoft极力推荐的一种新型  过滤器模型,不过谈及Minifilter模型我们就不得不提逻辑过滤器模型  (Legacy Filter),逻辑过滤器模型是一种比较古老的模型,它经历过从FileMon  到Sfilter的漫长历程,直到今天它仍然在发挥着它的巨大作用,从两者的对比上来看,  我根据个人的经验总结出了以下特点:
windows内核驱动开发】文件系统微过滤驱动Minifilter——绑定指定的卷(磁盘分区)
zcr214的博客
11-28 4199
【我的】文件系统微过滤驱动Minifilter——绑定指定的卷(磁盘分区) 作者:zcr214 时间:2016/4/21   在编写文件系统微过滤驱动minifilter的时候,很有可能我们只对某一个特定的磁盘分区感兴趣,而其他的如系统盘的很多IRP对于我们要编写的驱动可能是不关注的,所以有必要使得我们的驱动只绑定指定的这个卷,从而减少其他的IRP带来的干扰,节省很多处理流程,比如系统盘的很
MiniFilter文件过滤(与用户层通信)
qq_45844442的博客
01-10 391
minifilter已经不仅封装好了irp,使我们使用时不用注意其底层实现,还封装好了一系列的用户层与驱动minifilter通信的代码,所以直接按照使用规范调用相应api即可实现与用户层通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值