MiniFilter 学习

最新推荐文章于 2020-11-10 15:53:44 发布
最新推荐文章于 2020-11-10 15:53:44 发布
阅读量1.9k 收藏 2
点赞数 2
文章标签: 框架 MiniFilter 文件系统 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zfdyq0/article/details/29358831
版权

最近学习了一下文件系统微过滤驱动MiniFilter,其入门比起sFilter简单得多,下面是简单的MiniFilter框架实现了记事本文件无法使用的代码:


#include "fltKernel.h"
#include "ntddk.h"

#pragma prefast(disable:__WARNING_ENCODE_MEMBER_FUNCTION_POINTER, "Not valid for kernel mode drivers")

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject,PUNICODE_STRING pReg);
NTSTATUS NPUnload(FLT_FILTER_UNLOAD_FLAGS Flags);

FLT_PREOP_CALLBACK_STATUS NPPreCreate(    
	__inout PFLT_CALLBACK_DATA Data,
    __in PCFLT_RELATED_OBJECTS FltObjects,
    __deref_out_opt PVOID *CompletionContext);
	
FLT_POSTOP_CALLBACK_STATUS NPPostCreate(
    __inout PFLT_CALLBACK_DATA Data,
    __in PCFLT_RELATED_OBJECTS FltObjects,
    __in_opt PVOID CompletionContext,
    __in FLT_POST_OPERATION_FLAGS Flags);

#ifdef ALLOC_PRAGMA
	#pragma alloc_text(INIT,DriverEntry)
	#pragma alloc_text(PAGE,NPUnload)
	#pragma alloc_text(PAGE,NPPreCreate)
#endif



PFLT_FILTER gFilterHandle;

const FLT_OPERATION_REGISTRATION Callbacks[] =
{
	{
		IRP_MJ_CREATE,
		0,
		NPPreCreate,
		NPPostCreate
	},
	{
		IRP_MJ_OPERATION_END
	}
};

const FLT_REGISTRATION FltRegistration = 
{
	sizeof(FLT_REGISTRATION),
	FLT_REGISTRATION_VERSION,
	0,
	NULL,
	Callbacks,
	NPUnload,
	NULL,
	NULL,
	NULL,
	NULL,
	NULL,
	NULL,
	NULL
};

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject,PUNICODE_STRING pReg)
{
	NTSTATUS st = STATUS_SUCCESS;
	st = FltRegisterFilter(pDriverObject,&FltRegistration,&gFilterHandle);
	if(NT_SUCCESS(st))
	{
		st = FltStartFiltering(gFilterHandle);
		if(!NT_SUCCESS(st))
		{
			FltUnregisterFilter(gFilterHandle);
		}
	}
	DbgPrint("[MiniFilter Entry]\n");
	return st;
}

NTSTATUS NPUnload(FLT_FILTER_UNLOAD_FLAGS Flags)
{
	UNREFERENCED_PARAMETER(Flags);
	PAGED_CODE();
	DbgPrint("[MiniFilter Unload]\n");
	FltUnregisterFilter(gFilterHandle);
	return STATUS_SUCCESS;
}

FLT_PREOP_CALLBACK_STATUS NPPreCreate(    
	__inout PFLT_CALLBACK_DATA Data,
    __in PCFLT_RELATED_OBJECTS FltObjects,
    __deref_out_opt PVOID *CompletionContext)
{
	UNREFERENCED_PARAMETER(FltObjects);
	UNREFERENCED_PARAMETER(CompletionContext);
	PAGED_CODE();
	{
		UCHAR MajorFunction = 0;
		PFLT_FILE_NAME_INFORMATION nameInfo;
		MajorFunction = Data->Iopb->MajorFunction;
		if(IRP_MJ_CREATE == MajorFunction && 
			NT_SUCCESS(FltGetFileNameInformation(Data,FLT_FILE_NAME_NORMALIZED | FLT_FILE_NAME_QUERY_DEFAULT,&nameInfo)))
		{
			if(NT_SUCCESS(FltParseFileNameInformation(nameInfo)))
			{//查找notepad.exe字符串,并阻止
				if(NULL!=wcsstr(nameInfo->Name.Buffer,L"notepad.exe"))
				{
					Data->IoStatus.Status = STATUS_ACCESS_DENIED;
					Data->IoStatus.Information = 0;
					FltReleaseFileNameInformation(nameInfo);
					return FLT_PREOP_COMPLETE;
				}
			}
			FltReleaseFileNameInformation(nameInfo);
		}
		//DbgPrint("ENTER CREATE_CALLBACK\n");
	}
	return FLT_PREOP_SUCCESS_WITH_CALLBACK;
}

FLT_POSTOP_CALLBACK_STATUS NPPostCreate(
    __inout PFLT_CALLBACK_DATA Data,
    __in PCFLT_RELATED_OBJECTS FltObjects,
    __in_opt PVOID CompletionContext,
    __in FLT_POST_OPERATION_FLAGS Flags)
{
	return FLT_POSTOP_FINISHED_PROCESSING;
}


zfdyq0
关注
文件系统Minifilter驱动(WDK翻译)技术详解
07-10
文件系统Minifilter驱动(由WDK翻译而来)的技术详解文章,结构性强,通读下来,minifilter各要点内容了然于心了,必须看看
File System Minifilter Drivers(文件系统微型过滤驱动)入门
aguchu2119的博客
12-25 659
问题: 公司之前有一套文件过滤驱动,但是在实施过程中经常出现问题,现在交由我维护。于是在边看代码的过程中,一边查看官方资料,进行整理。 这套文件过滤驱动的目的只要是根据应用层下发的策略来控制对某些特定文件的控制,例如根据后缀名来决定是否允许查看,是否允许查看指定目录啊之类的功能。 介绍: MSDN上对可安装的文件系统驱动介绍http://msdn.microso...
监控进程创建,全部阻止的demo(使用MiniFilter
kernweak的博客
06-04 2266
使用wdk7600例子passthrough改写,监控IRPIRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION在 Data->Iopb->Parameters.AcquireForSectionSynchronization.PageProtection == PAGE_EXECUTE(等于这个就是创建进程) 在x64可以用这个监控进程 ,不会触发pa...
文件系统Minifilter驱动(二)
热门推荐
听风
03-02 1万+
二、Filter管理器模型的优势Filter管理器模型在现有的legacy过滤驱动模型之上提供了以下优势: l 比filter加载顺序更易控制. 不像legacy过滤驱动,一个minifilter驱动可以在任何时候被加载且因其altitude被绑定到合适的位置。l 在系统运行期间的卸载能力. 不像在系统运行期间不能被卸载的legacy过滤驱动,minifilter驱动能在任意时间被
minifilter源码
11-02
资源中的是微软minifilter的原始代码,结构精简,学过滤驱动的朋友们可以参考下。相关文章在http://blog.csdn.net/arvon2012/article/details/7926366
minifilter学习资料打包
05-10
minifilter学习资料,minifilter官方文档的翻译
minifilter.rar_minifilter_minifilter 透明_minifilter win7 x86_vis
07-14
对于想要学习minifilter驱动开发或者透明加解密技术的人来说,这是一个宝贵的资源,可以深入理解如何在实际项目中应用这些技术。 总的来说,这个压缩包提供了一个关于如何使用minifilter驱动在Windows 7 x86环境下...
miniFilter自带的例子,跟微软的一样
04-15
迷你过滤器(miniFilter)是Windows操作系统中内核模式...总的来说,这个miniFilter示例是学习和理解文件系统过滤驱动开发的重要资源,可以帮助开发者深入掌握Windows内核编程,并为实现自定义的文件系统行为打下基础。
驱动用MiniFilter来隐藏指定类型的文件.rar
09-10
驱动用MiniFilter来隐藏指定类型的文件.rar
miniFilter(所有框架代码以及对应的PPT资料,可以直接拿来进行修改即可完成各种驱动)
07-24
miniFilter(所有框架代码以及对应的PPT资料,可以直接拿来进行修改即可完成各种驱动)
minifilter 文件透明加密源码
12-14
基于minifilter框架下的透明加解密源码。 1 手工加载时自动增加system,explorer.exe,notepad.exe为监控进程 2 添加了异或加密算法 3 取消了不对c分区监控的限制,因为很多虚拟机里只有C分区 安装和加载说明 1 把engine.inf,engine.sys拷贝到虚拟机里 2 右击engine.inf,点安装 3 手工加载进cmd, 输入 sc start engine 4 手工停止进cmd,输入 sc stop engine 5 测试时请关闭杀毒软件,代码与诺顿杀毒软件的冲突是由于刷缓存引起的,是能解决的,不过初学者不必关心这个
微过滤(minifilter)驱动实现文件隐藏增强版
fangshy的专栏
11-10 1179
微过滤驱动主要用于安全隔离盒累产品,通过收集资料,和各位高手的文章,具有参考意义的的文章主要输入下 看雪论套:https://bbs.pediy.com/thread-226174.htm 是一篇很有质量的文章,基本逻辑已经实现,入门级的如何新建工程,编译,签名与安装,可以参考其他教程,这里只把实践重遇到的问题进行总结与给出解决方案。现在先总结问题: 问题1:设置为保护,仍然可以删除文件和目录; 问题2、保护状态仍然可以通过鼠标右键新建文件夹与其他文件,只是内容为空,0字节大小; 问题3、发现目录
minifilter
aalbertini的专栏
01-29 1047
对memory mapped files: 1)   fastio直接返回false   (OK)   2)   CreatFile的第5个参数dwFlagsAndAttributes, 要添加FILE_FLAG_NO_BUFFERING; 后续的读写就会经过IRP_MJ_READ/WRITE (未测试??) http://www.osronline.com/showThread.cfm?
基于Minifilter的文件过滤驱动以及与应用层通讯(付代码)
C++入门到放弃
11-06 6511
实现应用层与驱动程序通讯,控制驱动程序,发送路径,达到指定目录禁止访问的目的。
Minifilter
qq_41490873的博客
09-17 1508
Minifilter特点 在Minifilter框架中,不在需要自己去写代码生成设备,去绑定卷.这些框架已经做好了.唯一需要我们做的就是在Callback中处理我们感兴趣的回调函数而已. 创建文件 使用FltCreateFile 不能再使用ZwCreateFile 通信方式 在minifilter中改为通过端口通信. 驱动加载 使用inf文件安装 然后使用命令net start +驱动名 或者使用代码的方式加载,与NT驱动不同的是,需要新增两个注册表键值. Minifilter的注册 CONST FLT_
文件系统驱动开发心得
leehq的专栏
03-05 2876
 * 打开文件系统对象的特殊方式    文件系统驱动接收到IRP请求IRP_MJ_CREATE时,如果IrpSp->Flags指定了SL_OPEN_TARGET_DIRECTORY,则表示并不是真的要打开指定的文件系统对象,而是要检查对象是否可以删除已经它所在的目录是否可以进行创建操作。 通常这样的请求会发生在重命名文件系统对象之前。 * 文件系统驱动处理相对路径    处理IRP_M
FltRegisterFilter 调用失败的处理
Loong的专栏
04-08 1357
  FltRegisterFilter 调用失败的处理  今天准备调试昨天的一个minfilter 的时候,突然系统蓝屏了,感觉很奇怪,因为在以前是没有问题,而且这几天也没有改过代码,怎么突然有问题了呢?于是启动 windDBG 进行调试。   一 调试    在DriverEntry 里下了断点,运行到 FltRegisterFilter 时,...
滤波器管理器与Minifilter驱动:简化开发与高效过滤
本文档主要介绍了Minifilter驱动器在Windows操作系统中的应用,特别是FileSystemMinifilterDrivers的相关概念和技术细节。...开发者可以通过学习和掌握这些技术,提升自己的驱动开发能力,并优化系统的文件处理流程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值