Mini-filter driver 读写文件

最新推荐文章于 2023-04-13 14:45:53 发布
最新推荐文章于 2023-04-13 14:45:53 发布
阅读量986 收藏
点赞数
分类专栏: Windows Kernel 文章标签: Mini-filter
原文链接:https://blog.csdn.net/zhanghaiyang9999/article/details/39033033
版权

在kernel中读写文件要比在应用层麻烦一些,但是基本思路大体上还是一致的。

在内核中,也有很多相关的读写文件的API,本文只对

FltCreateFileEx

FltReadFile

FltWriteFile

进行简单说明。

这三个API和应用层的API CreateFileEx,ReadFile和WriteFile相对应。其作用分别是打开文件,从文件中读取数据和将数据写入文件。下面这个函数实现了文件拷贝操作,即将FullFileName的文件内容拷贝到FullFileName2中。

NTSTATUS ReadFileTest(INPUNICODE_STRINGFullFileName,INPUNICODE_STRINGFullFileName2)

{

NTSTATUS status = STATUS_UNSUCCESSFUL;

PVOID buffer = NULL;

ULONG total_len = 0;

ULONG readbytes = 0;

ULONG byteswritten = 0;

HANDLE FileHandle = NULL;

PFILE_OBJECT FileObject = NULL;

HANDLE FileHandle2 = NULL;

PFILE_OBJECT FileObject2 = NULL;

OBJECT_ATTRIBUTES ObjectAttributes;

OBJECT_ATTRIBUTES ObjectAttributes2;

IO_STATUS_BLOCK IoStatus;

PFLT_VOLUME Volume = NULL;

PFLT_INSTANCE Instance = NULL;

buffer = ExAllocatePoolWithTag(PagedPool, 4096,'ssmf');

InitializeObjectAttributes(

&ObjectAttributes,

FullFileName,

OBJ_KERNEL_HANDLE | OBJ_CASE_INSENSITIVE,

NULL,

NULL

);

InitializeObjectAttributes(

&ObjectAttributes2,

FullFileName2,

OBJ_KERNEL_HANDLE | OBJ_CASE_INSENSITIVE,

NULL,

NULL

);


status = FltCreateFileEx(

gFilterHandle,

NULL,

&FileHandle,

&FileObject,

GENERIC_READ,

&ObjectAttributes,

&IoStatus,

NULL,

FILE_ATTRIBUTE_NORMAL,

FILE_SHARE_READ | FILE_SHARE_WRITE | FILE_SHARE_DELETE,

FILE_OPEN,

FILE_NON_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_ALERT | FILE_SEQUENTIAL_ONLY | FILE_COMPLETE_IF_OPLOCKED,

NULL,

0,

IO_NO_PARAMETER_CHECKING

);


status = FltCreateFileEx(

gFilterHandle,

NULL,

&FileHandle2,

&FileObject2,

GENERIC_READ|GENERIC_WRITE,

&ObjectAttributes2,

&IoStatus,

NULL,

FILE_ATTRIBUTE_NORMAL,

FILE_SHARE_READ | FILE_SHARE_WRITE | FILE_SHARE_DELETE,

FILE_OVERWRITE_IF,

FILE_NON_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_ALERT | FILE_SEQUENTIAL_ONLY | FILE_COMPLETE_IF_OPLOCKED,

NULL,

0,

IO_NO_PARAMETER_CHECKING

);

PT_DBG_PRINT(PTDBG_TRACE_ROUTINES, ("SSMF:Open the file status is status=%08x\n",status));

if (FileObject)

{

//read the file

//get the volume

status = FltGetVolumeFromFileObject(gFilterHandle, FileObject, &Volume);

if (NT_SUCCESS(status))

{

status = FltGetVolumeInstanceFromName(

gFilterHandle,

Volume,

NULL,

&Instance

);

if (NT_SUCCESS(status))

{


while (STATUS_END_OF_FILE != FltReadFile(Instance, FileObject, NULL, 4096,

buffer,FLTFL_IO_OPERATION_NON_CACHED, &readbytes, NULL,NULL))

{

total_len += readbytes;

PT_DBG_PRINT(PTDBG_TRACE_ROUTINES, ("SSMF:Read length is %u,total len is %u\n", readbytes, total_len));

FltWriteFile(Instance, FileObject2,NULL, readbytes, buffer, FLTFL_IO_OPERATION_NON_CACHED, &byteswritten, NULL,NULL);

}

}

if (Volume)

{

FltObjectDereference(Volume);

}

if (Instance)

{

FltObjectDereference(Instance);

}

}

}

if (FileObject)

{

FltClose(FileHandle);

ObDereferenceObject(FileObject);

}

if (FileObject2)

{

FltClose(FileHandle2);

ObDereferenceObject(FileObject2);

}

if (buffer != NULL)

{

ExFreePoolWithTag(buffer,'ssmf');

}

return status;

}

写这段代码的时候发生了一个小插曲,当我准备用sc stop ssmf来停止ssmf的时候,居然hung住了,我想肯定是我的代码有问题,果断按下ctrl+scroll键两次,让系统蓝屏,产生dump文件。

最后分析dump文件,果然是ssmf不能退出,如下图所示。


原因是在某种情况下没有打开FullfileName1,但是打开了FullfileName2,但是FileObject没有关闭,导致driver在unload的时候要等所有的run-down对象的引用计数都为0,但是针对FileObject2,没有调用

ObDereferenceObject(FileObject2);

则使系统调用ExfWaitForRundownProtectionRelease一直等待下去。
 

VHeroin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
MinifilterFilter Initiated I/O(过滤器自产生I/O)
ALCAT的专栏
11-25 3161
下面的话摘自《Filter Driver Developer Guide》: Certain minifilters need to perform I/O of theirown.  This I/O is only seen byminifilters below the current minifilter in the minifilter stack of theVolume.
MiniFilterDriver:简单的minifilter驱动程序
05-19
MiniFilterDriver 简单的minifilter驱动程序
文件系统Minifilter驱动(二)
热门推荐
听风
03-02 1万+
二、Filter管理器模型的优势Filter管理器模型在现有的legacy过滤驱动模型之上提供了以下优势: l 比filter加载顺序更易控制. 不像legacy过滤驱动,一个minifilter驱动可以在任何时候被加载且因其altitude被绑定到合适的位置。l 在系统运行期间的卸载能力. 不像在系统运行期间不能被卸载的legacy过滤驱动,minifilter驱动能在任意时间被
【驱动开发】文件系统微过滤驱动(Minifilter
qq_42814021的博客
04-13 796
【驱动开发】文件系统微过滤驱动(Minifilter
驱动开发:内核枚举Minifilter微过滤驱动
CSDN
10-18 9106
Minifilter 是一种文件过滤驱动,该驱动简称为微过滤驱动,相对于传统的`sfilter`文件过滤驱动来说,微过滤驱动编写时更简单,其不需要考虑底层RIP如何派发且无需要考虑兼容性问题,微过滤驱动使用过滤管理器`FilterManager`提供接口,由于提供了管理结构以及一系列管理API函数,所以枚举过滤驱动将变得十分容易。
File System Minifilter Drivers(文件系统微型过滤驱动)入门
aguchu2119的博客
12-25 621
问题: 公司之前有一套文件过滤驱动,但是在实施过程中经常出现问题,现在交由我维护。于是在边看代码的过程中,一边查看官方资料,进行整理。 这套文件过滤驱动的目的只要是根据应用层下发的策略来控制对某些特定文件的控制,例如根据后缀名来决定是否允许查看,是否允许查看指定目录啊之类的功能。 介绍: MSDN上对可安装的文件系统驱动介绍http://msdn.microso...
Windows-file-system-filter-driver--.rar_filter driver
09-24
Windows file system filter driver development tutorials
cors-filter-2.10.jar
10-10
Tomcat设置跨域访问,cors-filter最新版本
cors-filter-2.5.jar
09-07
解决java web应用跨域问题所需要用到的jar包
Filter-Hook-Driver.zip_filter driver_filter hook_wdm
09-19
可将系统允许的数据通过该防火墙,而将其他的信息过滤掉
miniFilter(所有框架代码以及对应的PPT资料,可以直接拿来进行修改即可完成各种驱动)
07-24
miniFilter(所有框架代码以及对应的PPT资料,可以直接拿来进行修改即可完成各种驱动)
Windows_file_system_filter_driver.rar_filter driver_文件过滤驱动
09-14
大约两年以前我在驱动开发网上发表了一组描述如何开发Windows文件系统过滤驱动的文章。非常庆幸这些文章能给大家带来帮助。 原本的文章中我使用了自己编写的代码。我不打算在这里论述代码风格的优劣并发起一场辩论...
Visual Studio 2013开发 mini-filter driver step by step (1) - 创建 mini filter driver 工程
zhanghaiyang9999的专栏
08-10 1413
Visual Studio 2013终于集成了Driver的开发和
Visual Studio 2013开发 mini-filter driver step by step (2) - 编译,部署,运行
zhanghaiyang9999的专栏
08-24 1956
一个基本的mini filter项目创建好了以后,就可以编译,部署和
minifilter 驱动开发总结
d2262272d的博客
01-07 731
对于初次涉及驱动开发的朋友,首先说一下下开发前的心理建设,开发的耗时一般都很长,过程很繁琐,成就感真的就只有完成整个驱动后的那一会快感。着重说明这是一件单身汉干的事,不要老是想着对象,否则及其容易出问题,找不出来的那种,开玩笑哈,只是说驱动开发过程中面向过程的思想比较重。 好了,说正经的,单刀直入就从工程创建说起,零碎的东西就三言两语带过哈! 一般安装vs的时候,都不会去吧驱动模块相关的东西...
Minifilter中判定一个FILE_OBJECT是否为文件
weixin_34311757的博客
01-08 440
通过 NTSTATUSFltIsDirectory(INPFILE_OBJECTFileObject,INPFLT_INSTANCEInstance,OUTPBOOLEANIsDirectory); 就可以方便的判定出一个FO是否代表一个文件夹, 真是太爽了!!! 转载于:https://blog....
文件系统Minifilter驱动(三)
听风
03-02 9832
5).管理文件filter管理器消除了legacy过滤驱动重获和管理文件名所必需的许多工作。当一个名被请求时,filter管理器在引用计数结构中以适当的格式为当前操作提供名: 规范名, opened名或短名.  minifilter驱动可以调用FltGetDestinationFileNameInformation 来为正被rename或其NTFS hard link正被创建的文件
驱动中对文件进行二进制流读取
qq_35889047的博客
09-03 438
驱动中一般用zwcreatefile函数做文件处理、读取,但是需要对文件进行二进制流读取时,这个函数就不够用了,而在fltKernel.h头文件中,可以使用fltcreatefile函数进行句柄创建,后续再使用zwreadfile即可进行二进制流读取,部分代码: NTSTATUS status = STATUS_SUCCESS; FILE_STANDARD_INFORMATION fsi =...
HTML+CSS+JS+JQ+Bootstrap的工业焊接工程服务响应式网页.7z
最新发布
06-28
探索全栈前端技术的魅力:HTML+CSS+JS+JQ+Bootstrap网站源码深度解析 在这个数字化时代,构建一个既美观又功能强大的网站成为了许多开发者和企业追逐的目标。本份资源精心汇集了一套完整网站源码,融合了HTML的骨架搭建、CSS的视觉美化、JavaScript的交互逻辑、jQuery的高效操作以及Bootstrap的响应式设计,全方位揭秘了现代网页开发的精髓。 HTML,作为网页的基础,它构建了信息的框架;CSS则赋予网页生动的外观,让设计创意跃然屏上;JavaScript的加入,使网站拥有了灵动的交互体验;jQuery,作为JavaScript的强力辅助,简化了DOM操作与事件处理,让编码更为高效;而Bootstrap的融入,则确保了网站在不同设备上的完美呈现,响应式设计让访问无界限。 通过这份源码,你将: 学习如何高效组织HTML结构,提升页面加载速度与SEO友好度; 掌握CSS高级技巧,如Flexbox与Grid布局,打造适应各种屏幕的视觉盛宴; 理解JavaScript核心概念,动手实现动画、表单验证等动态效果; 利用jQuery插件快速增强用户体验,实现滑动效果、Ajax请求等; 深入Bootstrap框架,掌握移动优先的开发策略,响应式设计信手拈来。 无论是前端开发新手渴望系统学习,还是资深开发者寻求灵感与实用技巧,这份资源都是不可多得的宝藏。立即深入了解,开启你的全栈前端探索之旅,让每一个网页都成为技术与艺术的完美融合!
windows平台下个人防火墙的设计与实现.doc
07-07
Filter-Hook Driver 是个人防火墙实现的核心过滤技术,核心过滤驱动的开发采用 Visual Studio 2010 和 Windows 下的驱动开发工具 WDK 进行编码和编译,用户层采用 C 语言进行编写。用户界面用 MFC 实现。个人防火墙...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值