inf文件安装Minifilter驱动

最新推荐文章于 2022-01-10 18:17:32 发布
最新推荐文章于 2022-01-10 18:17:32 发布
阅读量4.4k 收藏 4
点赞数 1
分类专栏: 内核(R0) 文章标签: 内核R0 inf文件 Minifilte

本系列文章源于WDK,所有权利归原作者所有,翻译的目的只为交流和学习。除了商用你可以随意地使用这篇译文。但请不要删除声明。    ——by jununfly

一个文件系统minifilter驱动的INF文件一般包含以下部分:

1.Version (必需的)

版本部分指定由minifilter驱动的类型决定的一个类和GUID,如下例.

[Version]
Signature   = "$WINDOWS NT$"
Class       = "ActivityMonitor"
ClassGuid   = {b86dff51-a31e-4bac-b3cf-e8cfe75c9fc2}
Provider    = %Msft%
DriverVer   = 10/09/2001,1.0.0.0
CatalogFile = 

下表是文件系统minifilter驱动应该在版本中指定的值.

Entry

Value

Signature 

"$WINDOWS NT$"

Class 

参考 File System Filter Driver Classes and Class GUIDs

ClassGuid 

参考 File System Filter Driver Classes and Class GUIDs

Provider 

在你自己的INF文件中,你应该指定一个provider 而非Microsoft. 

DriverVer 

参考 INF DriverVer directive

CatalogFile

对反病毒minifilter驱动来说这是有符号的值,此入口包含一个WHQL提供的catalog文件的名.所有其他minifilter驱动应令此处为空白.详细信息,参考INF Version Section一文中对CatalogFile入口的描述. 

 

2.DestinationDirs (可选但推荐)

DestinationDirs 指定minifilter驱动和应用程序文件将会被复制到哪个目录下. 

在这个地方和ServiceInstall 中,你可以指定一个由系统定义的已知系统目录的数字值. 有关这些值的详情,参考 INF DestinationDirs Section.下例中,值12代表驱动目录(在基于NT的平台上是%windir%\system32\drivers),值10代表Windows目录(%windir%). 

[DestinationDirs]
DefaultDestDir = 12
Minispy.DriverFiles = 12
Minispy.UserFiles   = 10,FltMgr

3.DefaultInstall (必需的)

DefaultInstall 中,一个CopyFiles directive 会复制minifilter驱动的驱动文件和用户应用程序文件到DestinationDirs指定的目标中. 

注意  CopyFiles directive不应涉及catalog文件或INF文件自身. SetupAPI会自动复制这些文件. 

你可以创建一个单一的INF文件来在多版本的Windows OS上安装你的驱动.你可以通过为每个版本的OS创建额外的DefaultInstallDefaultInstall.ServicesDefaultUninstallDefaultUninstall.Services来创建这种INF文件. 每一个都以decoration (例如.ntx86.ntia64.nt)修饰来指定它要应用的是哪个OS版本.更多关于创建此类INF文件的信息,参考 Creating INF Files for Multiple Platforms and Operating Systems

下例是一个典型的DefaultInstall项. 

[DefaultInstall]
OptionDesc = %MinispyServiceDesc%
CopyFiles = Minispy.DriverFiles, Minispy.UserFiles

4.DefaultInstall.Services (必需的)

DefaultInstall.Services包含一个AddService directive ,它控制驱动的服务如何以及什么时候被加载,如下例: 

[DefaultInstall.Services]
AddService = %MinispyServiceName%,,Minispy.Service

5.ServiceInstall (必需的)

ServiceInstall 包含用于加载驱动服务的信息.在例子MiniSpy驱动中,此项的被命名为"Minispy.Service", 如下例所示.ServiceInstall 的名必须出现在DefaultInstall.Services 项的AddService directive 中.

[Minispy.Service]
DisplayName    = %MinispyServiceName%
Description    = %MinispyServiceDesc%
ServiceBinary  = %12%\minispy.sys
ServiceType    = 2 ;    SERVICE_FILE_SYSTEM_DRIVER
StartType      = 3 ;    SERVICE_DEMAND_START
ErrorControl   = 1 ;    SERVICE_ERROR_NORMAL%
LoadOrderGroup = "FSFilter Activity Monitor"
AddReg         = Minispy.AddRegistry
Dependencies   = FltMgr

ServiceType入口指定了服务的类型.Minifilter驱动应指定一个为2的值(SERVICE_FILE_SYSTEM_DRIVER).更多关于ServiceType 入口的信息,参考 INF AddService Directive

StartType 指定了什么时候启动服务.下表列出了它的取值范围及这些值的启动类型. 

       值

            描述

0x00000000

SERVICE_BOOT_START

0x00000001

SERVICE_SYSTEM_START

0x00000002

SERVICE_AUTO_START

0x00000003

SERVICE_DEMAND_START

0x00000004

SERVICE_DISABLED

更多有关这些启动类型的信息,参考What Determines When a Driver Is Loaded一文中的"Driver Start Types". 

LoadOrderGroup 提供filter管理器需要用来确保minifilter驱动和legacy FSFD之间的互用性的信息.你应该为你正在开发的minifilter驱动类型指定一个合适的LoadOrderGroup 值.详情参考 Load Order Groups and Altitudes for Minifilter Drivers

注意你必须指定一个LoadOrderGroup 值,即使你的minifilter驱动的启动类型不是SERVICE_BOOT_START.在这里,minifilter驱动和legacy FSFD有些不同. 

注意  filter管理器的StartType值为SERVICE_BOOT_START,它的LoadOrderGroup值为FSFilter Infrastructure. 这些值确保filter管理器总在一切minifilter驱动之前被加载. 

更多关于驱动被加载时StartTypeLoadOrderGroup入口如何决定,参考 What Determines When a Driver Is Loaded

注意  对minifilter驱动来说,StartTypeLoadOrderGroup值不决定minifilter驱动在minifilter实例栈中绑定到哪.这个位置是由minifilter实例的altitude决定的. 

ErrorControl指定如果在系统启动期间服务失败了要进行的行为. Minifilter 驱动应指定它为1 (SERVICE_ERROR_NORMAL). 更多关于ErrorControl 的信息参考 INF AddService Directive

AddReg directive 涉及一个或多个INF作者定义的AddRegistry 项,这个项包含要被存储到最新安装的服务的注册值中的信息.Minifilter驱动用AddRegistry 来定义minifilter驱动实例并指定一个默认的实例. 

Dependencies 指定了驱动依靠的一切服务或加载顺序组的名字.一切minifilter驱动都必须指定FltMgr,它是filter管理器的服务名. 

6.AddRegistry (必需的)

AddRegistry 添加key和值到注册表中. Minifilter驱动用AddRegistry 项来定义minifilter实例并指定一个默认实例.只要filter管理器为该minifilter驱动创建一个新的实例这个信息就会被用到. 

在例子MiniSpy 驱动中,以下AddRegistry 和Strings 中的%strkey% 记号定义三个实例,每一个都命名为MiniSpy驱动的默认实例. 

[Minispy.AddRegistry]
HKR,%RegInstancesSubkeyName%,%RegDefaultInstanceValueName%,0x00000000,%DefaultInstance%
HKR,%RegInstancesSubkeyName%"\"%Instance1.Name%,%RegAltitudeValueName%,0x00000000,%Instance1.Altitude%
HKR,%RegInstancesSubkeyName%"\"%Instance1.Name%,%RegFlagsValueName%,0x00010001,%Instance1.Flags%
HKR,%RegInstancesSubkeyName%"\"%Instance2.Name%,%RegAltitudeValueName%,0x00000000,%Instance2.Altitude%
HKR,%RegInstancesSubkeyName%"\"%Instance2.Name%,%RegFlagsValueName%,0x00010001,%Instance2.Flags%
HKR,%RegInstancesSubkeyName%"\"%Instance3.Name%,%RegAltitudeValueName%,0x00000000,%Instance3.Altitude%
HKR,%RegInstancesSubkeyName%"\"%Instance3.Name%,%RegFlagsValueName%,0x00010001,%Instance3.Flags%

7.DefaultUninstall (可选)

DefaultUninstall 可选但如果你的驱动可以被卸载的话则推荐你使用它.它包含 DelFilesDelReg directive来移除文件和注册值入口,如下列所示. 

[DefaultUninstall]
DelFiles   = Minispy.DriverFiles, Minispy.UserFiles
DelReg     = Minispy.DelRegistry

8.DefaultUninstall.Services (可选)

DefaultUninstall.Services 可选但如果你的驱动可以被卸载的话则推荐你使用它.它包含DelService directive来移除minifilter驱动的服务,如下来自MiniSpy驱动的例子所示. 

注意  DelService directive应总是指定SPSVCINST_STOPSERVICE标记(0x00000200)来在服务被删除之前停止它.

[DefaultUninstall.Services]
DelService = Minispy,0x200

9.Strings (必需的)

Strings 定义INF文件中使用的每一个%strkey%记号. 

你可以通过在INF文件中创建额外的现场指定的Strings.LanguageID 项来创建一个单一的国际化INF文件. 

下例是一个典型的Strings项. 

[Strings]
Msft               = "Microsoft Corporation"
MinispyServiceDesc = "Minispy mini-filter driver"
MinispyServiceName = "Minispy"
RegInstancesSubkeyName = "Instances"
RegDefaultInstanceValueName  = "DefaultInstance"
RegAltitudeValueName    = "Altitude"
RegFlagsValueName  = "Flags"

DefaultInstance    = "Minispy - Top Instance"
Instance1.Name     = "Minispy - Middle Instance"
Instance1.Altitude = "370000"
Instance1.Flags    = 0x1 ; Suppress automatic attachments
Instance2.Name     = "Minispy - Bottom Instance"
Instance2.Altitude = "365000"
Instance2.Flags    = 0x1 ; Suppress automatic attachments
Instance3.Name     = "Minispy - Top Instance"
Instance3.Altitude = "385000"
Instance3.Flags    = 0x1 ; Suppress automatic attachments

注意  从x64-based Windows Vista systems开始,所有的内核模式组件,包括非PnP(即插即用)驱动,比如FSD(文件系统, legacy filter和minifilter驱动), 都必须被签名以便加载和执行. 因为这个情况,以下是FSD相关的信息: 

非PnP驱动的INF文件,包括FSD,不要求包含[Manufacturer] 或[Models]项

SignTool 命令行工具, 位于WDK安装目录的\bin\SelfSign 目录中,可以直接用于"嵌入式的签名"一个驱动SYS 执行文件.由于性能原因,引导启动的驱动必须包含一个内含的签名. 

给定一个INF文件, Inf2cat 命令行工具可用于创建一个驱动包的catalog (.cat)文件.仅catalog文件可以接收WHQL 标识签名. 

在管理员特权下,一个未签名的驱动也可以在以Vista开始的x64-based系统上安装.不过,这个驱动的加载会失败因为它是未签名的. 

关于驱动签名的详细信息,参考Driver Signing

掌握签名处理的详细信息, 参考Kernel-Mode Code Signing Walkthrough

o 所有的内核模式组件,包括自定义的内核模式开发工具,必须被签名.更多信息参考Signing Software for Use in a Driver Development Environment (Windows Vista).


Windows驱动_文件系统微小过滤驱动之五MiniFilter例程解析
Z18_28_19的专栏
10-30 7192
今天,上了下看雪,好久没上去了,现在的看雪,跟之前不一样了,刚毕业的那个时候,上面的大牛真是多,现在屈指可数了,可能这些大牛们,因为年纪的增长,已经不在一线了,或许因为家庭,每时间在论坛上逛了,也许都已经在创业了,现在这个APP泛滥的年代,意念和想法,已经不靠技术了,也没有多少人在研究着技术,目前的中国还是有些浮躁,其实好好想想,现在所有的系统,芯片还是掌握在别人手上,不要谈Android,Win
Win64 驱动内核编程-17. MINIFILTER文件保护)
墨鱼菜鸡
12-18 331
MINIFILTER(文件保护) 使用HOOK来监控文件操作的方法有很多,可以在SSDT上HOOK一堆和FILE有关的函数,也可以对FSD进行IRPHOOK,不过这些方法既不方便,也不安全。微软推荐的文件操作过滤方法是使用过滤驱动,在VISTA之后,推荐使用MINI...
文件系统Minifilter驱动(五)
听风
03-02 6144
安装Minifilter驱动XP及更新的Windows OS中,你应该用INF文件和一个安装应用程序来安装你的minifilter驱动. (2K及更早的OS中,minifilter 驱动一般是借助Service Control Manager安装的.)注意"基于INF安装"仅仅意味着你需要使用一个INF文件来复制文件并存储信息到注册表中.你没有被要求用仅仅一个INF文件安装你的整个产品
Minifilter通过inf文件安装
随心动,随风行
10-15 1197
安装未签名的驱动程序时: cmd管理员权限运行,执行以下命令开启测试模式: bcdedit /set testsigning on 重启即可生效 安装 右键.inf文件,点击安装 右键.inf文件安装,实质是,将.sys文件拷贝到C:\Windows\System32\drivers 目录下 启动和停止 启动和停止驱动,还需以管理权限启动cmd,执行以下命令: 卸载删除 驱动卸载与删除,手...
代码方式安装minifilter驱动
qq_41490873的博客
09-11 1207
// MiniFIlterInstall.cpp : 定义控制台应用程序的入口点。 // // MinifilterInstall.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include <windows.h> #include <winioctl.h> #include <winsvc.h> #include <stdio.h>
MiniFilter文件过滤驱动编译时遇到inf文件报错
苞米地里捉小鸡的博客
09-22 777
MiniFilter文件过滤驱动的时候,编译过程遇到inf文件中报错。 Invalid Class value “TODO_Change_Class_appropriately” exceeds max length of 31 Invalid ClassGuid “{TODO_Change_ClassGuid_appropriately}”,expecting{xxxxxxxx…} 就如下图这样 如何解决? 打开inf文件。 将上面两个Class和ClassGuid的注释取消。 将.
windows内科安全与驱动开发,minifilter禁止txt文件打开demo
08-13
《寒江独钓 Windows内核安全编程》的miniflter简单介绍和使用,Minifilter驱动文件,用Minifilter.inf安装 UseMinifilter,应用层 Minifilter_dll ,应用层(客户程序和驱动层通信)
驱动MiniFilter来隐藏指定类型的文件.rar
09-10
7. **安装和部署**:最后,将驱动打包成INF文件,通过安装向导或命令行工具安装到目标系统上,并通过服务管理工具启用驱动服务,使其开始工作。 总的来说,利用MiniFilter驱动隐藏指定类型的文件是一项技术含量较高...
minifilter_vs2019minifilter_vs2019minifilter_minifilter_minifilt
10-01
6. **安装和卸载**:`SetupAPI`和`Inf`文件用于驱动程序的安装,而`DriverUnload`函数则在驱动卸载时执行清理工作。 在Visual Studio 2019中,你可以使用内置的驱动程序开发工具和模板来简化这个过程。创建一个新的...
一个简单的windows filesystem mini filter 驱动例子
pureman_mega的博客
01-10 1596
代码网上都有,就讲一下解决安装问题: 1,mini filter 的安装,一开始还是项普通的 legacy driver一样,通过命令函 "sc create servicenam binPath type=kernel"发现一直报错:找不到文件;然后调整"sc create servicename binPath type=filesys";驱动可以起来,然后FltRegisterFilter失败,报错找不到对象(0xc0000034).原来mini filter driver 安装需要通过inf 文件
miniFilter自带的例子,跟微软的一样
04-15
miniFilter自带的例子,跟微软的一样,里面有清楚的介绍
miniFilter 拦截与通讯实例
06-01
基于vs2012 wdk8.1 minifilter拦截文件操作并与R3层通信
Minifilter的动态安装、加载及卸载
B_H_L的专栏
10-10 2236
MINIFILTER框架的文件系统过滤驱动,无法使用的CreateService和OpenService进行动态加载。 看了一下,使用Inf文件安装Minifilter驱动方式是在注册表驱动服务项下比传统驱动多创建了Instances子键,然后读取DefaultInstance值,这个值标明了Instance选项,然后,再去读指定的Instance的Altitude和Flags值。
MiniFilter文件系统学习
热门推荐
zhuhuibeishadiao
04-23 1万+
Minfilter与legacy filter区别 比sfilter加载顺序更易控制. altitude被绑定到合适的位置。  Minfilter在注册表服务项中有一项Altitude值 此值越高位置越靠前 (待考证 每一个minifilter驱动必须有一个叫做altitude的唯一标识符.一个minifilter驱动的altitude定义了它加载时在I/O栈中相对其他minifi
Minifilter微过滤框架:框架介绍以及驱动层和应用层的通讯
扣的CODE
08-30 8700
minifilter是sfilter后微软推出的过滤驱动框架。相比于sfilter,他更容易使用,需要程序员做的编码更简洁。系统为minifilter专门制作了一个过滤管理器,这个管理器本身其实是一个传统过滤驱动,它向minifilter的使用者提供许多接口,让原本复杂的文件过滤驱动变得方便简单。之所以简单是因为传统的过滤驱动把大量的工作放在绑定设备上,而现在这些工作都交给minifilter中的
文件系统Minifilter驱动
pyq881120的专栏
09-09 1万+
1.Filter管理器和Minifilter驱动架构   Filter管理器是一个内核模式驱动,它遵照legacy文件系统filter模型并暴露了FSFD中必需的一般功能。利用这些功能,第三方开发者可以写minifilter驱动,这样的驱动比legacyFSFD更易于开发,因
文件系统Minifilter驱动(二)
听风
03-02 1万+
二、Filter管理器模型的优势Filter管理器模型在现有的legacy过滤驱动模型之上提供了以下优势: l 比filter加载顺序更易控制. 不像legacy过滤驱动,一个minifilter驱动可以在任何时候被加载且因其altitude被绑定到合适的位置。l 在系统运行期间的卸载能力. 不像在系统运行期间不能被卸载的legacy过滤驱动minifilter驱动能在任意时间被
win7 64-bit minifilter
aalbertini的专栏
01-08 1252
管理员方式: dseo13b.exe 启动 1)   enable test mode 2)   x64 checked environment.......... build, install 3)   dseo sign a system file...     4)   fltmc.exe load filter  OK>>>>>>>>>>>
实训商业源码-头像挂件-毕业设计.zip
最新发布
05-10
实训商业源码-头像挂件-毕业设计.zip
压缩包文件的解压与minifilter安装教程
总体来说,给定的文件信息指向了一个关于minifilter驱动程序的示例代码或工具,它由一个附带INF文件的压缩包组成,可用于驱动程序的安装。同时,指向了一个与之相关的网站,但提供的信息不足以确定该网站的具体内容...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值