FltGetFileNameInformation+VISTA+IRP_MJ_NETWORK_QUERY_OPEN+BSOD

最新推荐文章于 2023-09-01 00:12:11 发布
最新推荐文章于 2023-09-01 00:12:11 发布
阅读量1k 收藏
点赞数
分类专栏: WINDOW文件系统 WINDOWS文件过滤驱动 文章标签: network query path user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zzh520420/article/details/6763576
版权
本文探讨了使用MiniFilter进行操作时的一些关键特性,特别是涉及到IRP(I/O请求包)的处理方式。文中建议通过禁止快速I/O请求并等待常规创建路径来简化处理流程,这种方法在某些内置MiniFilter如LUAFV中已被采用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 I'm assuming you're using a minifilter. The most interesting feature of this operation is that one of the parametersis an Irp. This is pretty much the only place in a minifilter where you willactually touch an IRP. That IRP is a fully initialized CREATE IRP and youcan use it for all your context needs (getting the PID and the user like youwould for any normal create). I don't remember about FltGetFileNameInformation, could be a bug or it couldbe something that simply doesn't make sense in this context. Regardless, I would suggest that you disallow this request (returnFLT_PREOP_DISALLOW_FASTIO in the preOp) and expect it will come on theregular create path, which is much easier to handle. As Rod pointed out,LUAFV (which is an inbox minifilter enabled by default on all Vista+ systemsas far as I remember) does it anyway so you're not gaining anything from aperformance perspective. And then there are other gotchas about thisoperation which IMO do not justify the extra effort.
Windows驱动_文件系统微小过滤驱动之五MiniFilter例程解析
Z18_28_19的专栏
10-30 7190
今天,上了下看雪,好久没上去了,现在的看雪,跟之前不一样了,刚毕业的那个时候,上面的大牛真是多,现在屈指可数了,可能这些大牛们,因为年纪的增长,已经不在一线了,或许因为家庭,每时间在论坛上逛了,也许都已经在创业了,现在这个APP泛滥的年代,意念和想法,已经不靠技术了,也没有多少人在研究着技术,目前的中国还是有些浮躁,其实好好想想,现在所有的系统,芯片还是掌握在别人手上,不要谈Android,Win
MiniFilter文件系统学习
zhuhuibeishadiao
04-23 1万+
Minfilter与legacy filter区别 比sfilter加载顺序更易控制. altitude被绑定到合适的位置。  Minfilter在注册表服务项中有一项Altitude值 此值越高位置越靠前 (待考证 每一个minifilter驱动必须有一个叫做altitude的唯一标识符.一个minifilter驱动的altitude定义了它加载时在I/O栈中相对其他minifi
FltGetFileNameInformation 函数
free2o的专栏
04-13 5093
 FltGetFileNameInformation 函数 在Minifilter 中可以使用 FltGetFileNameInformation 来获取文件的名字,但是这个函数在如下几种情况下是不能够工作的: 1. 当前thread 的 TopLevelIrp  不是NULL 2. Page I/O 3. Pre Create 操作中 4. Post Close 操作中 如果
【原创】FltGetFileNameInformation蓝屏分析
weixin_30335353的博客
07-05 350
FAULTING_IP: nt!SeCreateAccessStateEx+5b80564184 848788000000 test byte ptr [edi+88h],al TRAP_FRAME: f1c6756c -- (.trap 0xfffffffff1c6756c)ErrCode = 00000000eax=00000001 ebx=81be08e0 ecx=81...
windows文件系统驱动里FltGetFileNameInformation获取到的文件名称解析
danxuezx的专栏
05-22 1620
FltGetFileNameInformation(Data, FLT_FILE_NAME_NORMALIZED | FLT_FILE_NAME_QUERY_DEFAULT, &NameInformation) 1、如上面代码,在指定FLT_FILE_NAME_NORMALIZED参数时,获取到的file name情况如下: 针对一个本地文件: NameInformation->Volume:\Device\HarddiskVolumeX ...
Windows内核沙盒原理详解
tianxilink的博客
09-01 1131
沙盒​ 在计算机领域指一种虚拟技术,它实际上是一种安全体系,且多用于计算机安全技术。其原理是通过重定向技术,把程序生成和修改的文件定向到自身文件夹中。本文主要探讨沙盒的内核实现原理
WDM_Driver.rar_IRP_WDM irp 初始化_WinCE WDM
07-15
windows驱动程序基本结构:(1)初始化驱动程序,定位和申请硬件资源,创建内核对象(2)添加新设备(3)对PNP IRP进行缺省处理(4)对IRP_MN_REMOVE_DEVICE IRP进行处理(5)对即插即用IRP进行处理
irp_mn.rar_The Bus_pnp
09-24
IRP_MN_START_DEVICE是其中一种PnP(Plug and Play)IRP,它指示设备驱动程序启动对新发现或重新启用的设备的操作。当设备管理器接收到PnP管理器发送的这个IRP时,会通知相应的驱动程序准备处理设备的启动请求。 **...
IRP.rar_IRP ID_irp会员_site:www.pudn.com
09-21
其中,`IRP_MJ_READ`、`IRP_MJ_WRITE`和`IRP_MJ_DEVICE_CONTROL`是最常见的IRP类型。 2. **IoStatusBlock**:这是一个结构体,用于存放I/O操作的结果,包括返回状态码和实际传输的数据量。 3. **List Entry**:IRP...
lbp.zip_7IRP_LBP MATLAB_lbp_matlab LBP_matlabLBP
07-13
标题中的“lbp.zip_7IRP_LBP MATLAB_lbp_matlab LBP_matlabLBP”暗示了这个压缩包文件包含的是与局部二值模式(Local Binary Patterns, 简称LBP)相关的MATLAB代码。LBP是一种简单且有效的纹理分析方法,尤其在图像...
IRP.rar_IRP_Windows内核
09-20
2. **主要和次要函数代码**:IRP中的`MajorFunction`字段包含了主要函数代码,如`IRP_MJ_READ`、`IRP_MJ_WRITE`等,表示I/O操作的大类。次要函数代码通常由驱动程序添加,提供更具体的上下文。 3. **调度队列**:...
文件系统驱动和设备驱动的区别
04-12
文件系统驱动和设备驱动是容易混淆的概念,本PDF将对文件系统过滤驱动和设备驱动的异同点做简要总结和分析,详细剖析两者的异同点,超高清PDF
Windows文件系统过滤管理器之微过滤器驱动开发指南
峥嵘岁月
02-27 9485
Windows文件系统过滤管理器之微过滤器驱动开发指南   0.译者序 对我来说,中文永远是最美,最简洁,最精确和最高雅的文字。 本文翻译仅仅用做交流学习。我不打算保留任何版权或者承担任何责任。不要引用到赢利出版物中给您带来版权官司。本文的翻译者是楚狂人,如果有任何问题,你可以通过邮箱MFC_Tan_Wen@163.com,或者是QQ16191935,或者是MS
Windows驱动_文件系统微小过滤驱动之四上下文空间
Z18_28_19的专栏
10-30 2598
今天看到了WSK,又有事情做了,一直是这样,肯定不行,我要想办法,当然,人千万不能漂起来,因为,自己不说很成熟,但是已经工作了这么多年。经过的事情,见过的人已经很多了。对于,自己,我觉得,应该有着相当的自信,因为,这么多年来,我一直在严格要求自己,从来没有放松过对自己的要求。现在的这个世界,已经,变成了一个爆发的世界,各种各样的人,都可以表演,只要敢做,就有机会,虽然难,但是比之前的环境要好很多。
关于vfp声明api函数的小发现
taohua300的专栏
03-31 1546
前不久偶然看到了 dkfdtf 版主N久前发的一个贴子,这里做了在没有动摇根本的情况下做了少许修改并加以说明 测试环境 Win xp sp3 + vfp 9.0 sp2 7423 + 1G内存 + 闪龙 3000+ CPU 1.先看测试代码 CLEAR CLEAR DLLS m.nStart = SECONDS() FOR m.ii = 1 TO 5000 Declare l
驱动开发:内核中的文件回调
热门推荐
优快云
11-01 1万+
无论在用户层还是内核层,操作文件的流程基本一致,除了在API函数上的区别(用户层调用用户层API,内核层调用内核API)以外其他基本一致,先讲解一下文件系统执行的流程。
BSOD原因 — FastIO
10-28 1113
      当阅读过滤驱动代码自己实践时,我想法是绑定完卷设备后,把所有的IRP都原封不动向下发,只是在passthru中打印个信息,表示经过了我的驱动,想看下效果。      用Device Tree查看,已成功绑定了D盘这个分区。用Dbgview查看,也能查看到输出信息。但是,绑定的D盘中,除了txt文件外,无法打开文件或运行程序,无法查看文件信息(创建日期,大小等),当一进行上述操作时,就B
FastIo
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
04-16 1822
由于你的驱动将要绑定到文件系统驱动的上边,文件系统除了处理正常的IRP 之外,还要处理所谓的FastIo.FastIo是Cache Manager 调用所引发的一种没有irp 的请求。换句话说,除了正常的Dispatch Functions 之外,你还得为DriverObject 撰写另一组Fast Io Functions.这组函数的指针在driver->FastIoDispatch. 首
[内核驱动] VS2012+WDK 8.0 Minifilter实现指定扩展名文件拒绝访问
weixin_34221773的博客
10-31 359
转载:http://blog.youkuaiyun.com/C0ldstudy/article/details/51585708 转载:http://blog.youkuaiyun.com/zj510/article/details/39344889 转载:http://blog.youkuaiyun.com/zj510/article/details/39345479 转载:http://www.cnblogs.com/js...
IRP_MJ_CREATE是什么意思
最新发布
03-15
<think>好的,用户想了解IRP_MJ_CREATE在Windows Driver Framework中的定义和作用。首先,我需要回忆一下WDF中的IRP处理机制。在WDM驱动中,IRP_MJ_CREATE通常用于处理文件对象的创建请求,比如当应用程序调用CreateFile时,系统会生成这个IRP。但在WDF中,框架对IRP处理进行了封装,可能通过I/O队列和事件回调来管理。 根据提供的引用内容,特别是引用[3],用户提到了KMDF驱动中如何设置EvtIoRead、EvtIoWrite等回调函数。类似地,IRP_MJ_CREATE应该对应某个特定的事件回调函数,可能在队列配置时设置。例如,在WDF_IO_QUEUE_CONFIG结构体中,可能有EvtIoCreate这样的成员来处理创建请求。 另外,引用[2]中提到驱动需要创建和打开I/O target,这可能与文件对象的创建有关联。当应用程序尝试打开设备时,IRP_MJ_CREATE会被发送到驱动,驱动可能需要通过WdfIoTargetOpen来关联目标设备或文件,确保后续的I/O操作能够正确路由。 还需要确认IRP_MJ_CREATE的具体作用,它主要用于设备或文件的打开请求,驱动需要处理这个请求以允许后续的读写或控制操作。在WDF中,框架可能已经封装了默认的处理方式,但驱动开发者仍可以通过注册回调函数来自定义处理逻辑。 总结一下,IRP_MJ_CREATE对应创建请求的处理,在WDF中通过配置队列的回调函数(如EvtIoCreate)来实现,确保驱动能够响应应用程序的打开设备请求,并进行必要的初始化和资源分配。</think>### IRP_MJ_CREATE 的定义及作用 **IRP_MJ_CREATE** 是 Windows 驱动框架(WDF)中用于处理文件或设备对象创建请求的主功能码。当用户态应用程序调用 `CreateFile` 或类似 API 尝试打开设备时,系统会生成此类型的 I/O 请求包(IRP),并将其发送到驱动程序的相应处理函数[^3]。 #### 核心作用: 1. **设备/文件对象初始化** 当应用程序首次与设备交互时,IRP_MJ_CREATE 用于初始化设备上下文、分配资源(如内存缓冲区)或验证访问权限。例如,驱动可能需要检查调用方的权限是否满足设备操作要求[^2]。 2. **建立通信通道** 该请求为后续的读写(如 IRP_MJ_READ/WRITE)或控制(IRP_MJ_DEVICE_CONTROL)操作建立通道。如果未正确处理此请求,后续的 I/O 操作将无法执行。 3. **关联 I/O Target** 在 KMDF 驱动中,可通过 `WdfIoTargetOpen` 关联到具体的设备栈或文件对象,确保后续操作能正确路由到目标设备。例如: ```c WDF_IO_TARGET_OPEN_PARAMS params; WDF_IO_TARGET_OPEN_PARAMS_INIT_OPEN_BY_NAME(&params, &deviceName, ...); WdfIoTargetOpen(hIoTarget, &params); ``` 此代码初始化一个 I/O Target 并关联到指定设备,为后续操作提供基础[^2]。 #### WDF 中的实现方式: 在 KMDF 驱动中,IRP_MJ_CREATE 通常通过 **I/O 队列配置** 进行响应。驱动需在初始化队列时注册回调函数 `EvtIoCreate`,例如: ```c WDF_IO_QUEUE_CONFIG queueConfig; WDF_IO_QUEUE_CONFIG_INIT_DEFAULT_QUEUE(&queueConfig, WdfIoQueueDispatchParallel); queueConfig.EvtIoCreate = MyEvtIoCreate; // 自定义处理函数 WdfIoQueueCreate(device, &queueConfig, ..., &queue); ``` 当收到创建请求时,框架会调用 `MyEvtIoCreate`,驱动可在其中执行初始化逻辑或返回错误码(如访问被拒绝)[^3]。 --- ### § 相关问题 § 1. IRP_MJ_CREATE 未正确处理会导致什么问题? 2. 如何在 WDF 驱动中限制设备的并发访问? 3. IRP_MJ_CLEANUP 与 IRP_MJ_CLOSE 的区别是什么? --- **引用说明** [^1]: 关于 WDF_IO_QUEUE_CONFIG 结构体的初始化与默认队列配置。 : KMDF 中 I/O Target 的创建与关联方法。 : IRP_MJ_READ 等请求在 KMDF 中的回调实现示例。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值