Minifilter过滤命名管道和邮槽的一些问题

最新推荐文章于 2023-08-31 17:06:53 发布
最新推荐文章于 2023-08-31 17:06:53 发布
阅读量1k 收藏 2
点赞数 1
分类专栏: 内核开发 文章标签: minifilter 命名管道 邮槽 NamedPipe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/106055219
版权

最近有个需求需要监控管道的链接,IRP_MJ_CREATE过滤不到管道的创建和链接。

注册的IRP_MJ_CREATE_NAMED_PIPE这个irp的回调也一直不被调用。

OSR上老外也提了类似的问题:

  • https://community.osr.com/discussion/239743/can-a-minifilter-filter-a-non-file-devices-irps
  • https://community.osr.com/discussion/171174
  • https://community.osr.com/discussion/247489

最后一个OSR上的问题,老外提到了微软的minispy中的部分代码,这个代码是用在注册Filter的时候填写在 FLT_REGISTRATION结构中的flag,这个flag从Win8才开始支持!

在这里插入图片描述
后来也搜到了两篇文章,介绍了Win8的新特性,其中就提到了开始支持过滤命名管道和邮槽,也证明了上面老外提到的这件事。

  • http://fsfilters.blogspot.com/2011/09/whats-new-in-win8-for-file-system.html
  • http://fsfilters.blogspot.com/2014/01/getting-started-with-windows-file_23.html

下面是我写的minifilter代码,用来过滤创建或打开的管道名是wdy就把管道名和当前进程名字打印出来。

代码中注册了下面两个IRP的回调函数:

  • IRP_MJ_CREATE
  • IRP_MJ_CREATE_NAMED_PIPE

最终结果显示,当使用了FLTFL_REGISTRATION_SUPPORT_NPFS_MSFS 这个flag时,

IRP_MJ_CREATE可以监控到打开管道名为wdy的事件
IRP_MJ_CREATE_NAMED_PIPE可以监控到创建管道名为wdy的事件

这个验证结果和《Windows内核原理与实现》书中8.3节介绍的一样
在这里插入图片描述

当不使用FLTFL_REGISTRATION_SUPPORT_NPFS_MSFS属性时,两个IRP都监控不到管道的创建和打开。

微软官方对这个属性的介绍:

  • https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/fltkernel/ns-fltkernel-_flt_registration

在这里插入图片描述

记住,这个属性从Win8才开始支持。

#include <fltKernel.h>
#include <dontuse.h>

#pragma prefast(disable:__WARNING_ENCODE_MEMBER_FUNCTION_POINTER, "Not valid for kernel mode drivers")


PFLT_FILTER gFilterHandle;
ULONG_PTR OperationStatusCtx = 1;

#define PTDBG_TRACE_ROUTINES            0x00000001
#define PTDBG_TRACE_OPERATION_STATUS    0x00000002

ULONG gTraceFlags = 0;


#define PT_DBG_PRINT( _dbgLevel, _string )          \
    (FlagOn(gTraceFlags,(_dbgLevel)) ?              \
        DbgPrint _string :                          \
        ((int)0))



NTSTATUS FsFilter1Unload(FLT_FILTER_UNLOAD_FLAGS Flags)
{
    UNREFERENCED_PARAMETER(Flags);
    PAGED_CODE();
    PT_DBG_PRINT(PTDBG_TRACE_ROUTINES,
        ("FsFilter1!FsFilter1Unload: Entered\n"));

    FltUnregisterFilter(gFilterHandle);

    return STATUS_SUCCESS;
}

extern NTSYSAPI PUCHAR NTAPI PsGetProcessImageFileName(PEPROCESS Process);


/*************************************************************************
    MiniFilter callback routines.
*************************************************************************/
FLT_PREOP_CALLBACK_STATUS PreCreateOperation(PFLT_CALLBACK_DATA Data, PCFLT_RELATED_OBJECTS FltObjects, PVOID* CompletionContext)
{
    NTSTATUS status;

    UNREFERENCED_PARAMETER(FltObjects);
    UNREFERENCED_PARAMETER(CompletionContext);

    PEPROCESS eProcess = NULL;
    HANDLE pid = PsGetCurrentProcessId();


    do
    {
        if (KeGetCurrentIrql() >= DISPATCH_LEVEL)
        {
            break;
        }

        if ((ULONG)pid == 4 || (ULONG)pid == 0)
        {
            break;
        }

        status = PsLookupProcessByProcessId(pid, &eProcess);
        if (!NT_SUCCESS(status))
        {
            KdPrint(("Get PsLookupProcessByProcessId Failed\n")); break;
        }

        PUCHAR pszProcessName = NULL;
        pszProcessName = PsGetProcessImageFileName(eProcess);
        if (pszProcessName == NULL)
        {
            KdPrint(("Get PsGetProcessImageFileName Failed\n"));  break;
        }

        if (strstr(pszProcessName, "Server.exe") || strstr(pszProcessName, "Client.exe"))
        {
            UNICODE_STRING usPipeName = { 0 };
            FltParseFileName(&FltObjects->FileObject->FileName, NULL, NULL, &usPipeName);

            UNICODE_STRING usTarget = { 0 };
            RtlInitUnicodeString(&usTarget, L"wdy");
            if (RtlEqualUnicodeString(&usTarget, &usPipeName, TRUE))
            {
                DbgPrint("[IRP_MJ_CREATE]=====> Process:%s  Create Named Pipe:%wZ \n", pszProcessName, &usPipeName);
            }

        }
    } while (0);


    return FLT_PREOP_SUCCESS_NO_CALLBACK;
}


FLT_PREOP_CALLBACK_STATUS PreCreateNamedPipeOperation(PFLT_CALLBACK_DATA Data, PCFLT_RELATED_OBJECTS FltObjects, PVOID* CompletionContext)
{
    NTSTATUS status;

    UNREFERENCED_PARAMETER(FltObjects);
    UNREFERENCED_PARAMETER(CompletionContext);

    PEPROCESS eProcess = NULL;
    HANDLE pid = PsGetCurrentProcessId();


    do
    {
        if (KeGetCurrentIrql() >= DISPATCH_LEVEL)
        {
            break;
        }

        if ((ULONG)pid == 4 || (ULONG)pid == 0)
        {
            break;
        }

        status = PsLookupProcessByProcessId(pid, &eProcess);
        if (!NT_SUCCESS(status))
        {
           break;
        }

        PUCHAR pszProcessName = NULL;
        pszProcessName = PsGetProcessImageFileName(eProcess);
        if (pszProcessName == NULL)
        {
           break;
        }

        if (strstr(pszProcessName, "Server.exe") || strstr(pszProcessName, "Client.exe"))
        {
            UNICODE_STRING usPipeName = { 0 };
            FltParseFileName(&FltObjects->FileObject->FileName, NULL, NULL, &usPipeName);
            
            UNICODE_STRING usTarget = { 0 };
            RtlInitUnicodeString(&usTarget,L"wdy");
            if (RtlEqualUnicodeString(&usTarget, &usPipeName, TRUE))
            {
                DbgPrint("[IRP_MJ_CREATE_NAMED_PIPE]=====> Process:%s  Create Named Pipe:%wZ \n", pszProcessName, &usPipeName);
            }
           
        }
    } while (0);


    return FLT_PREOP_SUCCESS_NO_CALLBACK;
}


//
//  operation registration
//

CONST FLT_OPERATION_REGISTRATION Callbacks[] = 
{
    { 
        IRP_MJ_CREATE,
        0,
        PreCreateOperation,
        NULL
    },
    { 
        IRP_MJ_CREATE_NAMED_PIPE,
        0,
        PreCreateNamedPipeOperation,
        NULL 
    },
    { IRP_MJ_OPERATION_END }
};

//
//  This defines what we want to filter with FltMgr
//

CONST FLT_REGISTRATION FilterRegistration = {
    sizeof( FLT_REGISTRATION ),         //  Size
    FLT_REGISTRATION_VERSION,           //  Version
    FLTFL_REGISTRATION_SUPPORT_NPFS_MSFS, //  Flags  这里需要做个判断win8才开始支持这个Flag
    NULL,                               //  Context
    Callbacks,                          //  Operation callbacks
    FsFilter1Unload,                    //  MiniFilterUnload

    NULL,//  InstanceSetup
    NULL,//  InstanceQueryTeardown
    NULL,//  InstanceTeardownStart
    NULL,//  InstanceTeardownComplete

    NULL,                               //  GenerateFileName
    NULL,                               //  GenerateDestinationFileName
    NULL                                //  NormalizeNameComponent
};



/*************************************************************************
    MiniFilter initialization and unload routines.
*************************************************************************/

NTSTATUS DriverEntry ( PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath )
{
    NTSTATUS status;

    UNREFERENCED_PARAMETER( RegistryPath );

    PT_DBG_PRINT( PTDBG_TRACE_ROUTINES,("FsFilter1!DriverEntry: Entered\n") );

    status = FltRegisterFilter( DriverObject,&FilterRegistration,&gFilterHandle );

    FLT_ASSERT( NT_SUCCESS( status ) );

    if (NT_SUCCESS( status )) {

        status = FltStartFiltering( gFilterHandle );

        if (!NT_SUCCESS( status )) {

            FltUnregisterFilter( gFilterHandle );
        }
    }

    return status;
}
FFE4
关注
专栏目录
Windows驱动_文件系统微小过滤驱动之五MiniFilter例程解析
Z18_28_19的专栏
10-30 7121
今天,上了下看雪,好久没上去了,现在的看雪,跟之前不一样了,刚毕业的那个时候,上面的大牛真是多,现在屈指可数了,可能这些大牛们,因为年纪的增长,已经不在一线了,或许因为家庭,每时间在论坛上逛了,也许都已经在创业了,现在这个APP泛滥的年代,意念和想法,已经不靠技术了,也没有多少人在研究着技术,目前的中国还是有些浮躁,其实好好想想,现在所有的系统,芯片还是掌握在别人手上,不要谈Android,Win
Windows驱动_文件系统微小过滤驱动之二驱动的安装和加载
Z18_28_19的专栏
10-28 1万+
机会总是留给有准备的人,人生只不过有6到7次机会,极少数的人抓住了,大部分的人,让机会从自己的身边溜走。在机会还没有到来的时候,千万不要气馁,也千万不要放弃。首先,认清自己,很多人,其实都没有将自己认识清楚,就去认清别人,认清世界。人跟人都是不一样的,想要的也不一样。所以,请记住,认清自己。在认清自己的前提下,在机会没有到来的时候,往自己的目标去努力,厚积薄发。没有机会,创造机会。不要给自己留下任
基于微过滤MinifilterMiniSpy源码文件过滤驱动
10-30
基于文件过滤驱动中minifilter过滤驱动框架开发,可以记录文件所有的操作,保存创建、重命名等,监控所有的I/O操作,包括驱动程序和用户端应用程序源码,对文件系统过滤有很大参考价值。
命名管道(Named Pipe)服务
maomao171314的专栏
11-30 3979
命名管道(Named Pipe)服务 1 命名管道的名称解析 在Windows中,管道的名称遵循Windows统一命名规范(UNC,Universal Naming Convention)。 命名管道的名称格式为\\<Server>\Pipe\<PipeName>。<Server>指定了一个命名管道的服务器所在的计算机名称,既可以是DNS名称,也可以是NetBIOS名称或者字符串形式的IP地址;<PipeName>是管道的唯一名,可以是层次结构中的一个.
使用Legacy Filters过滤创建和打开命名管道
Sven的忘却日记
05-28 352
之前写的方法,都比较不正规,这次采用设备过滤器来拦截命名管道的创建和打开,下面是效果图 代码: #include "ntifs.h" typedef struct { PDEVICE_OBJECT LowerDeviceObject; }DEVICE_EXTENSION,*PDEVICE_EXTENSION; PDEVICE_OBJECT g_MyFilterDevice = NULL; void DriverUnload(PDRIVER_OBJECT DriverObject) { DbgPri
nullfilter正常加载,callback不生效
最新发布
丸子头的专栏
08-31 197
2,下载微软开源项目中的nullfilter.inf,修改一下:​​​​​​https://github.com/microsoft/Windows-driver-samples/blob/master/filesys/miniFilter/nullFilter/nullFilter.inf。我们可以看到在DbgView中就显示了我们在driver中输出的内容了。点击红色的卸载按钮,我们driver就被成功的卸载掉了,同时在DbgView中也可以看到我们在unload函数中写的输出了。
文件系统Minifilter驱动(五)
听风
03-02 6094
安装Minifilter驱动XP及更新的Windows OS中,你应该用INF文件和一个安装应用程序来安装你的minifilter驱动. (2K及更早的OS中,minifilter 驱动一般是借助Service Control Manager安装的.)注意"基于INF的安装"仅仅意味着你需要使用一个INF文件来复制文件并存储信息到注册表中.你没有被要求用仅仅一个INF文件来安装你的整个产品
一个简单的文件系统过滤驱动框架
Henzox的专栏
07-23 9258
一个简单的文件系统过滤驱动,抛去了大部分细节,留下了一个简单的框架,其实文件系统过滤驱动蛮简单的,很多接口可以不用实现,只要知道大致流程,其它都将会很清晰。
minifilter源码
01-22
资源中的是微软minifilter的原始代码,结构精简,学过滤驱动的朋友们可以参考下。相关文章在http://blog.csdn.net/arvon2012/article/details/7926366
minifilter.rar_minifilter_minifilter 透明_minifilter win7 x86_vis
07-14
标题中的"minifilter.rar_minifilter_minifilter 透明_minifilter win7 x86_vis"揭示了这个压缩包内容的核心,它涉及到Windows操作系统下的一个名为“minifilter”的技术,该技术主要用于文件系统过滤驱动,实现了在...
MiniSpy可抓取ListView内容版
07-14
有时需要将其它软件中的ListView中的内容抓取并导出到纯文本文件。下载了MiniSpy2.1源码略改了一下使它支持对ListView中的内容抓取并导出到纯文本文件。
windows驱动写日志,有Zw和Flt,记录操作某一文件夹的进程名
12-16
windows驱动写日志,可以获取进程的全路径(包含进程全名),有Zw系列函数的实现也有Flt系列函数的实现,用minifilter实现的
minispy.exe
06-04
minispy.exe是一个可以查看窗口句柄,标题和类名的一个小工具,编程开发时很实用
MiniFilter文件系统学习
热门推荐
zhuhuibeishadiao
04-23 1万+
Minfilter与legacy filter区别 比sfilter加载顺序更易控制. altitude被绑定到合适的位置。  Minfilter在注册表服务项中有一项Altitude值 此值越高位置越靠前 (待考证 每一个minifilter驱动必须有一个叫做altitude的唯一标识符.一个minifilter驱动的altitude定义了它加载时在I/O栈中相对其他minifi
[内核驱动] VS2012+WDK 8.0 Minifilter实现指定扩展名文件拒绝访问
weixin_34221773的博客
10-31 334
转载:http://blog.csdn.net/C0ldstudy/article/details/51585708 转载:http://blog.csdn.net/zj510/article/details/39344889 转载:http://blog.csdn.net/zj510/article/details/39345479 转载:http://www.cnblogs.com/js...
文件系统Minifilter驱动
pyq881120的专栏
09-09 1万+
1.Filter管理器和Minifilter驱动架构   Filter管理器是一个内核模式驱动,它遵照legacy文件系统filter模型并暴露了FSFD中必需的一般功能。利用这些功能,第三方开发者可以写minifilter驱动,这样的驱动比legacyFSFD更易于开发,因
experiment : judge IRP_MJ_CREATE CreateDisposition on minifilter
谢绝(无视)留言与私信
07-24 1764
为了判断文件建立时, 是否有可能建立新文件. 找了些资料, 只看到 Data->Iopb->Parameters.Create.Options >> 24 为什么? 见到的例子中都没说... 代码中没有注释害死人啊. /// @file IrpOptCallBack.c /// @brief ... #include "IrpOptCallBack.h" #inc
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值