<读书笔记>Windows内核安全——第六章 磁盘过滤

最新推荐文章于 2024-10-24 18:14:13 发布
最新推荐文章于 2024-10-24 18:14:13 发布
阅读量1.6k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Windows 驱动开发 文章标签: windows 过滤 读书笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wu330/article/details/26047357
本文是关于Windows内核安全的读书笔记,重点介绍了如何创建一个磁盘卷上层过滤驱动,实现卷的还原功能。驱动在启动后,对还原卷的写操作仅限当前,重启后数据清零。内容涵盖磁盘卷设备理解、上层过滤驱动创建、PNP处理以及Boot驱动回调函数和稀疏文件的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

       本章目标:完成一个磁盘卷设备的上层类过滤驱动,该过滤驱动的功能是实现对卷的还原,即开启该驱动的功能之后,对还原卷的写操作将只适用于当前,重启电脑后所写入的数据都将清零,类似于还原卡之类的功能。

1、磁盘卷设备

       OK,根据章节的主题。首先要知道什么是磁盘卷设备,根据《windows internals》一书中的讲解,Windows的存储结构自上而下分成以下各个部分,如图所示:


(擦,一个图片翻译了N久,尼玛~)

       根据图中可以看出各个部分的功能,从中我们可以看见卷设备所处在的层级。


2、上层类过滤驱动

    根据驱动的层级,类功能驱动的上下可以添加相应的过滤驱动,添加在上层的称为上层过滤驱动,添加在下层的称为下层过滤驱动(前面的笔记中也有类似的介绍)。

代码分析:

1、  DriverEntry

DriveEntry中有一个API:

VOID IoRegisterBootDriverReinitialization(

 _In_      PDRIVER_OBJECTDriverObject,

最低0.47元/天 解锁文章

200万优质内容无限畅学
Windows内核安全与驱动编程》-第十章-磁盘过滤学习-day1
WocW的博客
05-02 1660
文章目录磁盘过滤10.1 磁盘过滤驱动的概念10.1.1 过滤和类过滤10.1.2 磁盘备和磁盘过滤驱动10.1.3 注册表和磁盘过滤驱动10.2 具有还原功能的磁盘过滤驱动10.2.1 简介10.2.2 基本思想10.3 驱动分析10.3.1 DriverEntry 函数10.3.2 AddDevice 函数明日计划 磁盘过滤 10.1 磁盘过滤驱动的概念 10.1.1 ...
<寒江独钓>Windows内核安全编程__具有还原功能的磁盘过滤驱动
The New Old Things
10-27 8394
磁盘过滤驱动的概念 1.过滤和类过滤 在之前的文章里,我们已经介绍过滤的概念,所谓过滤技术就是在本来已有的备栈中加入自己的一个备。由于Windows向任何一个备发送IRP请求都会首先发送给这个备所在备栈的最上层备,然后再依次传递下去,这就使得加入的备在目标备之前获取Irp请求称为可能,这时候就可以加入自己的处理流程。在这里把插入备栈的用户备叫做过滤备,建立这个备并使
磁盘过滤驱动完整工程
09-22
有bug的磁盘过滤驱动完整工程,恳请高手帮忙指导一下~~ 非常感谢。
磁盘过滤驱动中关于DiskDeviceControl处理
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
05-04 1744
http://bbs.pediy.com/showthread.php?t=167696 你看看WDK src\storage\class\disk\disk.c里的DiskDeviceControl,里边有磁盘备需要处理的所有IOCTL的过程 PS:如果你测试的是XP系统,那么不要看最新的WDK里的DISK源码,要看与XP匹配WDK的DISK源码才好。 代码:
Windows内核安全与驱动编程》-第十章-磁盘过滤学习-day3
WocW的博客
05-04 437
磁盘过滤 10.3 驱动分析 10.3.5 DeviceIoControl 请求的处理 ​ 该请求的处理函数是 DPDispatchDeviceControl ,作为一个磁盘过滤备,理论上是不需要对 DeciceControl 做任何处理的,只需要转发给下层备即可。但是这里本驱动需要截获一个特殊的请求——IOCTL_VOLUME_ONLINE,这个请求是由Windows系统发出的,它本身的作...
信息安全工程师第二版考试总结+笔记
热门推荐
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
系统架构师考试学习笔记第四篇——架构计实践知识(21)安全架构计理论与实践
weixin_38812575的博客
09-10 1544
第21时主要学习信息系统中安全架构计的理论和工作中的实践。根据考试大纲,本时知识点会涉及案例分析题和论文题(各占25分),而在历年考试中,综合知识选择题目中也有过诸多考查。本时内容侧重于知识点记忆;,按照以往的出题规律,安全架构计基础知识点主要来源于教材,但随着形势和技术的发展,也可能会联系最新时事考查新颁布的安全标准。本时知识架构如图21.1所示。
Linux笔记——基础部分
include_heqile的博客
02-16 531
可在此处进行下载:http://download.youkuaiyun.com/download/include_heqile/10252391创建文件的软链接 ln -s 文件的绝对路径 软链接名 Linux中的几个重要目录 /dev device-一切皆文件 /etc 各种配置文件 /home 所有用户的家目录 /u
【Linux】-学习笔记01
sgdhshshhs的博客
10-24 3250
操作系统的主要工作是由操作系统内核实现的,操作系统内核提供一系列具备预定功能的多内核函数,通过一组称为系统调用的接口(应用编程接口API,由操作系统实现提供的所有系统调用所构成的集合,是应用程序和系统之间的接口)呈现给用户。在Linux系统中一切都是文件,配置一个服务就是使用文本编辑器修改配置文件的参数所有的Unix 系统都会内建 vi 文本编辑器,其他的文本编辑器则不一定会存在;很多个别软件的编辑接口都会主动调用 vi,如:crontab, visudo 等指令。
Windows内核安全与驱动编程》-第十章-磁盘过滤学习-day4
WocW的博客
05-05 387
10.3.6 bitmap 的作用和分析 ​ 在之前我们多次看到了bitmap,但是却一直不知道它是什么,它的作用是干嘛。接下来我们去看,但是具体的bitmap 的实现很复杂,如果没有特殊兴趣的话,可以只看它的接口说明,而不管具体的实现过程。 ​ 顾名思义,bitmap就是一个位图。它实际上是一些内存块,这些内存块的每一位用来标识一个磁盘上的最小访问单位,一般情况下是一个扇区。每一位可以被置或者...
实现一个具有还原功能的磁盘过滤驱动
08-14
实现一个具有还原功能的磁盘过滤驱动,详细代码分析
Windows内核安全与驱动编程》-第十章-磁盘过滤学习-day2
WocW的博客
05-03 546
磁盘过滤 10.3 驱动分析 10.3.3 PnP 请求的处理 ​ 作为一个卷过滤驱动 PnP 请求处理是非常重要的,因为 Windows 操作系统在某些时刻会向存储备发出专门的请求,如果没有进行正确的处理,将会造成系统无法正常关机等一系列问题。 ​ 在收到 PnP 请求之后,由于在 DriverEntry 中对 PnP 请求的处理函数特别置成了 DPDispatchPnp 函数,所以这个函...
Windows驱动_文件系统过滤驱动之二
Z18_28_19的专栏
07-03 2172
最近的心情有点不好,之前因为很忙,没有时间去想很多事情,现在闲下来,很多事情就开始想了,我应该使用这段时间,好好的利用,可以继续提高一些,我们无法控制明天,那就请抓住今天。加油!           今天偶尔看到了,关于一些文件过滤驱动的代码,终于知道了,微软为什么,要把文件驱动,单独拿出来,作为驱动的另外一级。它非常复杂,所以,也给了我一些想征服它的勇气,我喜欢挑战,喜欢做有难度的事情。
文件系统过滤驱动基础知识
夜空
07-12 5975
 文件系统过滤驱动基础知识一、何谓文件系统过滤驱动?     文件系统过滤驱动是一种可选的,为文件系统提供具有附加值功能的驱动程序。文件系统过滤驱动是一种核心模式组件,它作为Windows NT执行体的一部分运行。     文件系统过滤驱动可以过滤一个或多个文件系统或文件系统卷的I/O操作。按不同的种类划分,文件系统过滤驱动可以分成日志记录、系统监测、数据修改或事件预防几类。通常,
文件系统过滤驱动开发(一)—Win32底层开发小组
GaA.Ra的自留地 in Csdn
03-18 2393
    声明:本文无太多新意,只是介绍下学习经验,大神级人物(如总监大人)请略过,谢谢合作>_这本书,搭了个环境之后,其实也没碰很多,编了个经典的Hello,World!之后就无太多后续动作,暑假嘛,你们懂的,学习无压力.上学期断断续续算是把基础啃完了(其实也只是啃完-__-),就到了万恶的期末考试复习月.寒假开始着手过滤驱动这一块的学习,然后学期一开始就忙着这个SIG的项目.到现在的感觉就是,思路是有,但是有一些地方找不到切入点,光查资料就花很多时间.现在分享一下我的学习心得,不对之处,敬请指出.   
Windows平台内核级文件访问
gzfqh的专栏 →底层代码研究
02-04 9163
Windows平台内核级文件访问作者:baiyuanfan (baiyuanfan@163.com)日期:2.1,20061.背景   在windows平台下,应用程序通常使用API函数来进行文件访问,创建,打开,读写文件。从kernel32的CreateFile/ReadFile/WriteFile函数,到本地系统服务,再到FileSystem及其FilterDriver,经历了很多层次。在
硬盘坏了!数据没了!
weixin_34272308的博客
07-27 151
        中午正在看新闻,忽然电脑死机了,重启后系统找不到其中的一块硬盘,拆下来提鼻子一闻,妈呀!比昨天吃的烧烤味道还浓!        辛辛苦苦积攒的数据烟消云散了,一部分视频资料和大部分的虚拟机数据,Windows2008、Solaris、Redhat……都没有了,装吧!十几个小时的时间又都泡汤了,郁闷!...
Windows过滤驱动 以及简单例子
zhangyihu321的专栏
07-24 784
Windows 过滤驱动是一种特殊类型的驱动程序,它可以拦截发送到另一个驱动程序或备的 I/O 请求,修改或增强这些请求的行为。以下是对 Windows 过滤驱动的详细解释,并附带一个简单的键盘过滤驱动示例。在实际应用中,过滤驱动可以用于更复杂的任务,如监控、安全增强、虚拟化等。- 过滤驱动通常用于增加功能或修改现有驱动的行为,而无需修改原始驱动。- 这只是一个简化的示例,实际的驱动程序需要更多的错误处理和资源管理。- 过滤驱动位于备栈中,可以是上层过滤驱动或下层过滤驱动。// 将小写字母转换为大写。
整理一份我对Windows文件系统过滤驱动的sFilter工程代码的详细说明(精华侨)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-09 6242
标 题: 【分享】整理一份我对Windows文件系统过滤驱动的sFilter工程代码的详细说明 作 者: tianhz 时 间: 2012-06-19,18:32:07 链 接: http://bbs.pediy.com/showthread.php?t=152338 我平时很忙,很少发表主题。我在工作的时候,我身边的很多同事都不停地问我有关Windows文件系统过滤驱动的问题。他们中
<?php $username = $_POST["username"] ; $password = $_POST["password"] ; if($username === "admin" && $password === "admin1") { // 读取所有笔记文件 $notes = []; $note_files = glob('notes/*.txt'); foreach ($note_files as $file) { $id = basename($file, '.txt'); $content = file_get_contents($file); $notes[$id] = $content; } ?> <!DOCTYPE html> <html lang="zh-CN"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>读书笔记系统</title> <link rel="stylesheet" href="styles.css"> </head> <body> <script> alert('登陆成功'); </script> <div class="container"> <h1>我的读书笔记</h1> <form action="add_note.php" method="post" class="note-form"> <h2>添加新笔记</h2> <div class="form-group"> <label for="book_title">书名:</label> <input type="text" id="book_title" name="book_title" required> </div> <div class="form-group"> <label for="note_content">笔记内容:</label> <textarea id="note_content" name="note_content" rows="5" required></textarea> </div> <button type="submit">保存笔记</button> </form> <div class="notes-list"> <h2>我的笔记</h2> <?php if (empty($notes)): ?> <p>暂无笔记,添加你的第一条读书笔记吧!</p> <?php else: ?> <?php foreach ($notes as $id => $content): ?> <div class="note-card"> <div class="note-content"><?= nl2br(htmlspecialchars($content)) ?></div> <form action="delete_note.php" method="post" class="delete-form"> <input type="hidden" name="note_id" value="<?= $id ?>"> <button type="submit" class="delete-btn">删除</button> </form> </div> <?php endforeach; ?> <?php endif; ?> </div> </div> </body> </html> <?php } else { echo "<script>alert('账号或者密码不正确');</script>"; } ?>
最新发布
07-26
<title>读书笔记</title> </head> <body> <h2>欢迎, <?php echo htmlspecialchars($username); ?></h2> <a href="logout.php">退出登录</a> <h3>我的读书笔记</h3> <?php if (!empty($user_notes)): ?> <ul> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值