Win64 驱动内核编程-17. MINIFILTER(文件保护)

最新推荐文章于 2025-10-28 12:54:38 发布
原创 最新推荐文章于 2025-10-28 12:54:38 发布 · 1w 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#驱动 #MINIFILTER #文件过滤 #文件保护

MINIFILTER是微软推荐的文件操作过滤方法,尤其在Vista之后。相比于传统的HOOK方法,MINIFILTER更安全、方便。本文介绍了如何使用Visual Studio创建MINIFILTER驱动项目,并生成模板文件。通过修改模板并在虚拟机上安装,可以实现文件保护。在CMD中,可以使用`sc`命令来控制MINIFILTER驱动的启动、停止和删除。回调函数的设置是关键,用于定义在文件操作前后的处理行为。

 MINIFILTER(文件保护)

    使用 HOOK 来监控文件操作的方法有很多,可以在 SSDT 上 HOOK 一堆和 FILE 有关的函数,也可以对 FSD 进行 IRP HOOK,不过这些方法既不方便,也不安全。微软推荐的文件操作过滤方法是使用过滤驱动,在 VISTA 之后,推荐使用 MINIFILTER (字面翻译是迷你过滤器)。MINIFILTER 基于标准的文件过滤驱动,但是微软把它封装得很好,使得大家不用注意太多细节,而专注于对 IRP 的过滤。

    之前一直在看一些细节和各种配置文件设置,最后发现如果用VSIDE的话直接就自动生成模板了。先说下创建一个MiniFilter驱动项目:

最低0.47元/天 解锁文章
文件保护_minifilter_文件保护_
09-29
采用minifilter框架编写的文件保护,ring3传入要保护的路径即可
天使也掉毛 Win64 驱动内核编程
11-24
本文将结合提供的文件信息,详细介绍Win64驱动内核编程的知识点。 首先,进行Win64驱动内核编程,需要搭建好开发与调试环境。通常情况下,开发环境的搭建包括安装Visual Studio 2015、Windows Driver Kit(WDK)和...
基于Minifilter文件过滤驱动以及与应用层通讯(付代码)
C++入门到放弃
11-06 7078
实现应用层与驱动程序通讯,控制驱动程序,发送路径,达到指定目录禁止访问的目的。
深入实践MiniFilter驱动开发实例详解
最新发布
weixin_42443533的博客
10-28 891
其中最重要的成员之一是,它指向一个以IRP_MJ_*操作类型为索引的回调数组。每个元素类型为,结构如下:示例如下:0,},0,},0,NULL // 无Post处理},参数说明:: 指定要拦截的主功能码,如代表文件打开。Flags: 可选标志,如表示仅注册一次。: 在I/O执行前调用,可用于修改参数或阻止操作。: 在I/O完成后调用,可用于审计结果或释放资源。数组以结尾,表示注册结束。此外,Version。
使用Minifilter过滤驱动保护文件
qq_18811919的博客
09-06 926
用于文件保护的过滤驱动,在红蓝对抗中可与EDR对抗。
Minifilter目录保护
10-10
对某目录一下所有子目录和文件进行保护 禁止增、删、改操作,包含应用层与内核通信所有代码,一起送了。
Minifilter实现目录保护
lastsurvivor的专栏
10-11 2731
这次的任务是对web服务器进行目录保护,防止增、删、改操作,我负责windows平台下的开发。经过半个月的摸索和各位大牛的帮助,已经实现了功能。以下是最近学习win内核的经验:            程序流程很简单,按照Minifilter框架,填写预操作回调函数。 所有IRP
Win64 驱动内核编程-34.对抗与枚举MiniFilter
墨鱼菜鸡
12-18 354
对抗与枚举MiniFilter MiniFilter是目前杀毒软件用来实现“文件系统自我保护”和“文件实时监控”的方法。 由于MiniFilter模型简单,开发快捷,通用性好,以前用FSDHOOK或者标准过滤驱动来实现相关功能的杀软纷纷改用MiniFilter,比如卡巴斯基。不过,...
minifilter实现文件隐藏,很全,有源代码
04-20
里面是用windows驱动驱动minifilter框架实现的文件隐藏功能,里面有六个条目,前两个条目分别是驱动层和应用层的源代码;接下来的两个文件时应用层的文件(一个是配置文件,一个是exe应用层文件),InstMiniDrv是加载minifilter驱动文件,最后一个是生成的驱动文件,ps(以上文件在启动时都要以管理员权限启动,不然会失败,因为驱动的加载要用管理员权限才行)
驱动加入执行文件保护
08-05 743
     近来发觉自己的软件被人破,心中甚是恼火,恼火当初没花时间在反破解上。    反正鄙人尽量琢磨了点驱动东东,心想加上点RING0的看你小样去破去。    这样吧,弄点狠的,如果有看官,也帮我琢磨下可行性。    1、启动方式上面,采用牺牲程序的方式,由加载(牺牲)程序做好初始化,包括:驱动加载,调试器检测,一旦通过立即和驱动通讯,由驱动解密牺牲程序中封装的资源,然后由驱动
易语言驱动文件保护模块
07-10
可以驱动保护文件和强删文件,适用64位系统 win7-win10
C++,文件加密过滤驱动,文件保护程序
04-27
FileGuard 是一个文件保护程序,能对指定目录或指定文件进行监视并保护。主要功能有:删除保护,写保护,读保护,隐藏文件等。 组成文件: FileGuard.exe, FGHook.vxd, FGHelp.chm, 一个保护信息文件(默认为ProtFile.ini)。 使用时请确保前三个文件在同一目录下。 运行环境: IBM PC,Windows 9x/Me (NT下不能使用)
miniFilter 拦截与通讯实例
06-01
基于vs2012 wdk8.1 minifilter拦截文件操作并与R3层通信
windows驱动DirProtect 实现保护目录文件
xwzj264的专栏
05-23 578
实现了一个win驱动可支持任意windows系统。实现对目录的保护,包括:修改,查阅,删除等操作都可以实现。此时这个目录只能支持添加修改。当然可定制任意模式。二,目录被保护:protect_dir被保护。一,编译好驱动后,安装和启动。
驱动层双机调试,文件保护,进程保护
xiaobai_2511的博客
04-27 1986
最近在驱动层 做了三个东西   1、双机调试  win764 + 虚拟机win7 64  用的VirtualKD-3.0 (比串口那种通信好的多) 具体教程网上很多。 2、文件保护用的 minifliter,过程中,遇到的问题是用NT驱动加载minifilter 加载不上,用wdm驱动就能加载上。想要用NT 驱动加载上,需要创建服务之后,启动服务之前写注册表。具体方法参考这个链接  点击打开链
文件系统Minifilter驱动()
热门推荐
听风
03-02 1万+
文件系统Minifilter驱动  声明:本系列文章源于WDK,所有权利归原作者所有,翻译的目的只为交流和学习。除了商用你可以随意地使用这篇译文。但请不要删除声明。                                                     ——by jununfly  说明: 所有preoperation及postoperation
文件保护 miniflter
dingchangkejigongsi的博客
05-18 1033
通过minifilter来实现对指定文件夹,禁止删除、重命名。以及指定保护文件,禁止用户修改、删除、重命名,禁止往指定文件夹里面新建文件、以及文件夹以及禁止拷贝文件。 探讨加QQ:2740458587
拦截Minifilter与应用层通信的FltMessage
Sven的忘却日记
07-29 940
关于如何拦截Minifilter和应用层之间的通信消息,Hook FltMessage的两种方式
全面解析WIN64驱动编程内核级技术
### WIN64驱动编程基础教程知识点详解 #### 0.基础的基础 ##### 学习WIN64驱动开发的...以上内容构成了WIN64驱动编程的基础,涵盖了从入门到高级的多个层面,是深入了解和学习Windows内核编程不可或缺的知识体系。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值