[转]文件过滤系统驱动开发Filemon学习笔记与filemon.exe

最新推荐文章于 2020-04-26 12:21:13 发布
最新推荐文章于 2020-04-26 12:21:13 发布
阅读量1.8k 收藏 4
点赞数 1
文章标签: extension object debugging string file system
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baby_bobo/article/details/6033585
版权
本文介绍了Windows文件过滤驱动开发,特别是通过Filemon的例子,详细讲解了如何创建设备对象以实现与应用层的交互,以及如何处理文件操作的拦截和监控。Filemon驱动通过创建控制设备对象和符号链接,实现与用户界面的通信,同时利用IoCreateDevice和IoCreateSymbolicLink等函数进行设备对象的创建和管理。
摘要由CSDN通过智能技术生成

WINDOWS文件过滤体系驱动研发,可用于硬盘还原,防病毒,文件安全防护,文件加密等诸多领域。而掌握焦点层的理论及实践,对成为一名优秀的研发人员不可或缺。
WINDOWS文件过滤体系驱动研发的两个经典例子,Filemon与SFilter,初学者在经过一定的理论积累后,对此两个例子代码的研究阐发,会是步入驱动研发殿堂的重要一步,相信一定的理论积累和贯串剖析理解此两个例程后,就有能力开始进行文件过滤体系驱动研发的实职了。对SFilter例子的讲解,楚狂人的教程已比力风行,而Filemon例子也许因框架结构相对于明晰,易于剖析理解,无人贴出教程,本人在剖析Filemon的过程中积累的一些笔记资料,陆续贴出希望对初学者有所帮助,并通过和各人的交流而互相提高。
Filemon进修笔记熬头篇:
Filemon的大抵架构为,在此驱动程序中,创立了两类设备对象。一类设备对象用于和Filemon对应的exe程序通信,以吸收用户输入信息,好比挂接或监控哪个分区,是不是要挂接,是不是要监控,监控何种操作等。此设备对象只创立了一个,在驱动程序的入口函数DriverEntry中。此类设备对象一般称为节制设备对象,并有名字,以方便应用层与其通信操作。第二类设备对象用于挂接到所须监控的分区,好比c:,d:或e:,f:,以便中途阻挡到引应用层对该分区所执行的读,写等操作。此类设备对象为安全为达到目的,一般不予定名,可根据须监控多少分区而创立一个或多个。
驱动入口函数大抵如次:
NTSTATUS DriverEntry(
IN PDRIVER_OBJECT DriverObject,
IN PUNICODE_STRING RegistryPath NTSTATUS ntStatus;
PDEVICE_OBJECT guiDevice;
WCHAR deviceNameBuffer=L"//Device//Filemon";
UNICODE_STRING deviceNameUnicodeString;
WCHAR deviceLinkBuffer=L"//DosDevices//Filemon";
UNICODE_STRING deviceLinkUnicodeString;
ULONG i;
DbgPrint(("Filemon.SYS:entering DriverEntry/n"));
FilemonDriver=DriverObject;
//
//Setup the device name
//
RtlInitUnicodeString(&deviceNameUnicodeString,
deviceNameBuffer);
//
//Create the device used for GUI communications
//此设备对象用来和用户交互信息
ntStatus=IoCreateDevice(DriverObject,
sizeof(HOOK_EXTENSION),
&deviceNameUnicodeString,
FILE_DEVICE_FILEMON,
0,
TRUE,
&guiDevice);
//
//If successful,make asymbolic link that allows for the device
//object's access from Win32 programs
//
if(NT_SUCCESS(ntStatus)){
//
//Mark thellos as our GUI device
//
((PHOOK_EXTENSION)guiDevice-DeviceExtension)-Type=GUIINTERFACE;
//
//Create asymbolic link that the GUI can specify to gain access
//to thellos driver/device
//
RtlInitUnicodeString(&deviceLinkUnicodeString,
deviceLinkBuffer);
ntStatus=IoCreateSymbolicLink(&deviceLinkUnicodeString,
&deviceNameUnicodeString);
if(!NT_SUCCESS(ntStatus)){
DbgPrint(("Filemon.SYS:IoCreateSymbolicLink failed/n"));
IoDeleteDevice(guiDevice);
return ntStatus;
//
//Create dispatch points for all routines that must be handled.
//All entry points are registered since we might filter a
//file system that processes all of them.
//
for(i=0;i=IRP_MJ_MAXIMUM_FUNCTION;i++){
DriverObject-MajorFunction[i]=FilemonDispatch;
#if DBG<

最低0.47元/天 解锁文章
baby_bobo
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows驱动开发要点总结一
bcbobo21cn的专栏
07-04 2564
1 概述 驱动程序大体可分为两类三种: 第一类:传统型驱动     传统型驱动的特点就是所有的IRP都需要自己去处理,自己实现针对不同IRP的派发函数。其可以分 为以下两种:     1. Nt式驱动:此驱动通过注册系统服务来加载,并且不支持即插即用功能(即没有处理IRP_MJ_PNP 这个IRP)。     2. WDM驱动:此驱动不通过注册系统服务来加载,需啊哟自己编写inf文件
VC文件过滤系统驱动开发Filemon学习笔记
05-25
这篇"VC文件过滤系统驱动开发Filemon学习笔记"是针对使用Visual C++(VC)进行此类驱动开发学习资源,对于深入理解文件系统过滤驱动的工作原理和开发技术具有很高的价值。 文件过滤驱动是一种内核模式驱动程序,...
filemon.exe
05-10
可以直接使用的软件,可以使用的很很好的good、
Java| MANIFEST.MF讲解
热门推荐
YvesHe的专栏
04-26 1万+
在Java平台中, 清单文件(Manifest file)是JAR档案中包含的特殊文件。Manifest文件被用来定义扩展或档案打包相关数据,是一个元数据文件,它包含了不同部分中的名/值对数据。如果一个JAR文件被用来作为可执行文件,那么其中的Manifest文件需要指出该程序的主类文件。通常Manifest文件文件名为MANIFEST.MF。 JAR文件可以可选地在META-INF目...
轻松打造APP统一标题栏
u014716401的博客
07-01 3456
在APP中,标题栏的作用举足轻重,能够很好的告诉用户当前所处在的位置。为了更好的用户体验,一款APP的所有标题栏的格式都应该统一。常见的标题栏形式如下两种。 标题一 标题二 一般的实现方式都是在每个activity中的XML文档中进行布局,然后在Java文件中拿到相关组件,然后进行数据填冲和设置点击事件。这样做的缺点就是代码冗余,开发效率低,如果需要修改需求的比较麻烦。那
DeviceIoControl详解
happy井二胖
12-11 2413
自:http://blog.csdn.net/angelkernel/article/details/5646113 DeviceIoControl的使用说明 应用程序和驱动程序的通信过程是:应用程序使用CreateFile函数打开设备,然后用DeviceIoControl与驱动程序进行通信,包括读和写两种操作。还可以用ReadFile读数据用WriteFile写数据。操作完毕时用C
文件过滤系统驱动开发Filemon学习
09-27
通过学习Filemon,不仅可以掌握文件过滤驱动开发技巧,还能深入理解Windows文件系统的内部工作原理。这不仅对于从事Windows内核开发的工程师非常有帮助,对于任何希望深入了解操作系统底层实现的人员也极具价值。...
filemon_driver_test.rar_filemon_拦截码_文件系统过滤驱动
最新发布
09-24
文件系统过滤驱动程序,拦截读写操作,测试程序下载驱动时,Createservice,startservice出错,Createservice出错码有时报1072,有时报1073,startservice出错码有时报1,有时报183,还有就是那测试驱动程序中,对应的驱动...
用vs2005改写的文件驱动过滤系统上位机程序Filemon
02-26
1. **驱动安装**:程序安装时,会安装一个系统驱动,该驱动注册为文件系统过滤驱动,获取系统文件操作的权限。 2. **事件拦截**:当驱动检测到文件操作(如创建、删除、读取、写入等)时,它会拦截这些事件,并传递...
计算机病毒与防护:文件系统监测工具filemon.ppt
06-10
计算机病毒与防护是信息安全领域的重要组成部分,而文件系统监测工具如FileMon则在这个过程中扮演了关键角色。FileMon是一款强大的系统监控工具,主要用于监视文件系统的活动,帮助用户识别潜在的病毒、恶意软件或...
win10专业版系统explorer.exe
11-16
win10专业版系统explorer.exe,用于系统文件损坏后修复
Windows文件系统过滤驱动开发教程(第二版)和文件监控FileMon源码
03-17
本资源两部分:1、Windows文件系统过滤驱动开发教程(第二版),中文PDF文件。2、文件监控FileMon源码,C++/C代码
著名的filemon,使用钩子截获控制windows下文件操作的不错源码
11-19
著名的filemon,使用钩子截获控制windows下文件操作的不错源码!!有助于我们详细了解hook 钩子的源码!钩子截获的全过程源码!
Filemon文件跟踪工具
03-30
Filemon工具,Filemon文件跟踪工具
Direction-aware Spatial Context Features for Shadow Detection and Removal
Marvek的博客
04-26 1736
Direction-aware Spatial Context Features for Shadow Detection and Removal
文件过滤系统驱动开发Filemon学习笔记
01-18 2251
下载filemon源代码WINDOWS文件过滤系统驱动开发,可用于硬盘还原,防病毒,文件安全防护,文件加密等诸多领域。而掌握核心层的理论及实践,对于成为一名优秀的开发人员不可或缺。WINDOWS文件过滤系统驱动开发的两个经典例子,Filemon与SFilter,初学者在经过一定的理论积累后,对此两个例子代码的研究分析,会是步入驱动开发殿堂的重要一步,相信一定的理论积累以及贯穿剖析理解此两个例程
Filemon for Windows
weixin_34413357的博客
01-09 173
Copyright © 1996-2005 Mark Russinovich and Bryce CogswellLast Updated: August 28, 2005 v7.02 Awards Introduction FileMon monitors and displays file system activity on a system in real-time. I...
Windows文件系统过滤驱动开发实战指南
"Windows文件系统过滤驱动开发教程(第二版)" 是一本由楚狂人编写的教程,旨在帮助读者理解并实践Windows平台上的文件系统过滤驱动程序开发。这本书覆盖了从基础概念到高级技巧的各种主题,包括驱动对象、设备对象、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值