MiniFilter 工作原理

最新推荐文章于 2024-01-27 16:34:14 发布
最新推荐文章于 2024-01-27 16:34:14 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: 基础知识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/106113645
版权

什么是 MiniFilter

minifilter 是 sfilter 后微软推出的过滤驱动框架。相比于sfilter,更容易使用,需要程序员做的编码更简洁。系统为minifilter专门制作了一个过滤管理器,这个管理器本身其实是一个传统过滤驱动,它向minifilter的使用者提供许多接口,让原本复杂的文件过滤驱动变得方便简单。之所以简单是因为传统的过滤驱动把大量的工作放在绑定设备上,而现在这些工作都交给minifilter中的过滤管理器来完成。

MiniFilter 和其他驱动的区别

普通驱动:
也叫文件系统驱动。

过滤驱动:
基于文件驱动中的操作进行手动过滤,可以理解成你 hook 了系统的 create 函数,然后如果你要拦截这个操作你就按要求返回不允许,否则就传给系统下一层去继续。

微过滤器:
首先,微过滤器不是驱动(可以理解为一个在 Filter Manager 的一个组件)。它通过向过滤管理器(Filter Manager)驱动进行注册自己需要过滤的一些操作,提供指定格式的回调函数让过滤管理器来进行调用,对于每一种操作,minifilter 都可以注册一个 “过滤前(pre)” 和 “过滤后(post)” 被调用的回调函数。

MiniFilter 的优点和缺点

优点:
(1)兼容性好
(2)简单易上手

缺点:
(1)编程自由度不大

加载顺序

minifilter的加载顺序是根据一个Altitude来决定的,可以理解成驱动所处的维度:
在这里插入图片描述
当FilterManager检测到要执行create的时候,就去调用注册了对该操作进行过滤的minifilter的回调函数,根据Altitude的值从大到小的顺序先调用preCreate函数。而FilterManager检测到create执行完成后,便按照Altitude的值从小到大的顺序去调用postCreate函数。

参考网址:
https://write-bug.com/article/2503.html

https://blog.csdn.net/qq_33504040/article/details/78458958

(-: LYSM :-)
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Minifilter微过滤框架:框架介绍以及驱动层和应用层的通讯
扣的CODE
08-30 8503
minifilter是sfilter后微软推出的过滤驱动框架。相比于sfilter,他更容易使用,需要程序员做的编码更简洁。系统为minifilter专门制作了一个过滤管理器,这个管理器本身其实是一个传统过滤驱动,它向minifilter的使用者提供许多接口,让原本复杂的文件过滤驱动变得方便简单。之所以简单是因为传统的过滤驱动把大量的工作放在绑定设备上,而现在这些工作都交给minifilter中的
miniFilter(所有框架代码以及对应的PPT资料,可以直接拿来进行修改即可完成各种驱动)
07-24
miniFilter(所有框架代码以及对应的PPT资料,可以直接拿来进行修改即可完成各种驱动)
你的MiniFilter安全吗?
最新发布
钞sir的博客
01-27 1万+
肆意的风压弯了海棠
MiniFilter教程
07-31
文件过滤驱动,文件过滤驱动 MiniFilter教程
Minifilter知识总结
weixin_34221775的博客
05-07 451
Minifilter注重功能实现,不注重更深层的IRP之类的操控 编写Minifilter的第一件事是向过滤器宣告我们的微过滤器的存在。这里所谓的微过滤器是符合过滤器标准的过滤组件,它其实是一组回调函数,这组回调函数向过滤管理器注册之后,在合适的时机(比如,要求的文件操作发生时)过滤管理器就会以合适的方式来调用某个回调函数。 如果我们编写这个回调函数中的内容,就可以对文件系统加以过滤了。这比花很...
minifilter 与用户态的通信
weixin_30344795的博客
09-07 154
驱动层的步骤1. 创建通信端口  FltCreateCommunicationPort    对于安全对象,必须设置OBJ_KERNEL_HANDLE。    ServerPort 监听客户端连接请求的端口。    第三个参数ObjectAttributes 通过InitializeObjectAttributes初始化,其中包含了端口名称。方便应用层打开。    ConnectNotifyCa...
minifilter_内核通信_DEMO_minifilter_
10-02
在Windows操作系统中,Minifilter是I/O过滤...通过分析和研究这个DEMO,开发者能够深入理解Minifilter驱动程序的工作原理,掌握内核与用户层通信的关键技术,并能够将这些知识应用到实际的文件系统过滤或监控项目中。
文件夹保护_minifilter_文件夹保护_
09-29
本文将深入探讨minifilter驱动在文件夹保护中的应用及其原理。 首先,我们要理解什么是minifilter驱动。Minifilter驱动是I/O过滤驱动的一种,它在Vista及更高版本的Windows系统中引入,作为传统文件系统过滤驱动...
fastfat-File-System-Driver.rar_fastfat_minifilter
09-20
《深入解析Fastfat ...通过理解和掌握其工作原理,我们可以为Windows系统构建出更安全、更高效的数据管理解决方案。然而,这也需要对Windows内核编程有深厚的了解,以及对文件系统操作和系统级编程的扎实基础。
文件系统Minifilter驱动(WDK翻译)技术详解
07-10
文件系统Minifilter驱动(由WDK翻译而来)的技术详解文章,结构性强,通读下来,minifilter各要点内容了然于心了,必须看看
minifilter源码
01-22
资源中的是微软minifilter的原始代码,结构精简,学过滤驱动的朋友们可以参考下。相关文章在http://blog.csdn.net/arvon2012/article/details/7926366
minifilter透明加解密源码
01-27
现在很多做透明加解密的初学者都比较困惑,不知从何下手,我也是如此,从什么都不会开始,慢慢肯文件系统内幕,到OSR上面请教,四个月的时间还是收获颇丰。其实真正研究以后会发现,很多都是体力活,要不断的去跟踪文件的操作流程。在这里发一个基于minifilter的透明加解密的驱动源码仅供大家参考,其中也实现了对文件标识的处理,文件标识放在文件尾部。算是抛砖引玉吧。坦白的说,这个代码并不稳定(偶尔与norton杀毒软件会有冲突),但是我觉得整个流程是正确的,可能有些细节还没有考虑清楚,我觉得对初学者还是有一定帮助吧,当然大虾们可以跳过,呵呵。另外,有关加解密算法的代码由于不是我写的,也不好公开,所以我把相关代码用“\\\”给注释掉了(但没有去掉),请大家见谅,不过不会对整个流程产生影响。大家可以重点看一下各个派遣函数的实现。 欢迎大家拍砖,觉得有点意思就顶一下啊,在看代码的过程中如果有什么好的建议,也希望能告诉我。 最后非常感谢XiangXiangRen,zzbwang,neak47等网友在这段时间内对我的帮助。XiangXiangRen的书以及zzbwang的帖子对我完成这项工作有很大的帮助和参考价值,在此谨与大家分享。 编译环境:WDK6001.18002 XP x86 PS: 您可以将附件中的代码进行修改和转发,但转发时请注明出处。 http://bbs.driverdevelop.com/htm_data/39/1001/119736.html
微软微过滤器MiniFilter的源码
09-03
MiniFilter工作原理是基于IRP(I/O Request Packet,I/O请求包)的处理。当用户或应用程序发起一个文件操作时,该操作会被封装成一个IRP,然后传递到文件系统层次。MiniFilter驱动能够在这个过程中捕获IRP,进行...
Minifilter
qq_41490873的博客
09-17 1479
Minifilter特点 在Minifilter框架中,不在需要自己去写代码生成设备,去绑定卷.这些框架已经做好了.唯一需要我们做的就是在Callback中处理我们感兴趣的回调函数而已. 创建文件 使用FltCreateFile 不能再使用ZwCreateFile 通信方式 在minifilter中改为通过端口通信. 驱动加载 使用inf文件安装 然后使用命令net start +驱动名 或者使用代码的方式加载,与NT驱动不同的是,需要新增两个注册表键值. Minifilter的注册 CONST FLT_
minifilter
敟當柒秒哋魚
12-20 3259
minifilter透明加解密源码 http://bbs3.driverdevelop.com/read.php?tid=119736 http://bbs3.driverdevelop.com/read.php?tid=111662 http://bbs3.driverdevelop.com/read.php?tid=110838 http://bbs3.driverdevelo
MINIFILTER实现文件重定向之从分析到实现
weixin_34249678的博客
08-01 861
本次实验的测试环境为Windows Server 2008 R2 X64下。 为了解决例如系统关键目录或者业务敏感目录被放入恶意的可执行程序或者网页文件等,一些安全软件会使用文件过滤驱动的技术结合一定的检测规则来达到保护系统和业务安全的一些目的。 简单地来看下Minifilter技术的介绍: Filter管理器随Windows一起被安装,但它只在一个...
minifilter 下载
09-11
这种方式适用于一些常见的minifilter功能,如文件加密、病毒扫描等,可以节省开发时间和工作量。 总之,minifilter的下载需要获取Windows Driver Kit或Windows SDK,然后可以通过官方渠道或开源社区获取minifilter...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值