DoubleFilter调试记录

最新推荐文章于 2019-06-03 03:26:58 发布
最新推荐文章于 2019-06-03 03:26:58 发布
阅读量431 收藏
点赞数
分类专栏: 文件加解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jimk1983/article/details/78293135
版权

问题1: 驱动加载后,无法卸载

答: 检查DriverObject->DriverUnload = DriverUnload; --是否实现 

问题2: 驱动加载、卸载后,第二次无法加载了。

答:  IoRegisterFsRegistrationChange(DriverObject, SpyFsNotification); ---因为驱动是全局的,需要去注册

         IoUnregisterFsRegistrationChange(g_FileSpyDriverObject, SpyFsNotification);

问题3: VS2015编译win10平台的,不能加载到win7,直接蓝屏

问题4:  IoAttachDevice()过的,才可以IoDetachDevice(), 否则如果给没有Attach过的直接进行IoDetachDevice,那么也会蓝屏

问题5: 在DriverEntry(),所有的系统卷设备全部挂载,但是没有Read/Write注册派遣例程,也直接蓝(这个直接蓝在NT!NtRead 和 NT!NtWrite的函数上,而且就是0xc0000005的空指针类型的访问,这个为什么是必须的?) 实际情况测试中,不能采用偷懒的办法:, 例如:

for ( i = 0; i <= IRP_MJ_MAXIMUM_FUNCTION; i++)
{
DriverObject->MajorFunction[i] =  PassThrough;
}

而一定要:

DriverObject->MajorFunction[IRP_MJ_CREATE] = SpyCreateTest;
DriverObject->MajorFunction[IRP_MJ_READ] = PassThrough;
DriverObject->MajorFunction[IRP_MJ_WRITE] = PassThrough;

并且一定要设置Fast-IO的派遣例程


注意: 

WDK7600, 拷贝驱动目录,并bcz,执行,驱动无法卸载。

问题6: 驱动加载后,windbg打开,debugview打开显示文件信息比较多以后,直接卸载驱动,会有概率出现系统自己的蓝屏

说是有驱动打印时,有什么资源没有释放,所以尽量避免卸载驱动。

问题7:  ntoskrnl.lib这个DDL在VS2015下的WDK有个函数,win7上没有,但是编译上VS2015又支持win7,所以一旦编译好win7会出现,驱动无法加载成功的情况

原因是: Win7上的环境,缺少了有个函数,找不到符号表,导致加载失败,所以win7上的编译还是用WDK7600来编译,或者将WDK7600的库,拷贝出来,在VS2015工程编译win7_32的时候,通过手工来设置加载该WDK7600的库文件。









灵魂漫步者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Dubbo原理(5)--服务调用流程
hello_world的博客
07-04 507
引用服务的流程:最终会为我们创建出一个代理对象; 那么代理对象如何进行方法(远程)的调用? Dubbo官方文档里面有整个调用链的图:http://dubbo.apache.org/zh-cn/docs/dev/design.html 例如: 这个对象userService确实是一个代理对象,这个代理对象层层封装了各种invoker,invoker里面是我们真正要执行的功能方法; 如何执行如下: public class InvokerInvocationHandler implemen
文件过滤驱动 文件系统激活通知 IoRegisterFsRegistrationChange函数实现
baund的专栏
12-08 2496
IoRegisterFsRegistrationChange 注册一个文件系统变动回调函数,用来被通知文件系统的激活和注销,激活是指第一次加载文件系统,当一个文件系统已经加载后,当加载一个同种文件系统的卷时,该文件系统就和激活没关系。话说该函数调用后,激活的文件系统会重新激活一遍,在2k SP4之后的系统都会这样做。 现在考虑下,这种机制是怎么实现的,猜测是在注册的时候,注册完成后,系统将各
文件系统过滤驱动-Sfilter流程解析
05-09 1650
1> IFS 流程图 a.生成一个控制设备.当然此前你必须给控制设置指定名称. b.设置Dispatch Functions. c.设置Fast Io Functions. d.编写一个my_fs_notify回调函数,在其中绑定刚激活的FS CDO. e.使用wdff_reg_notify调用注册这个回调函数。 f.编写默认的dispatch functions. g.处理
系统回调介绍
weixin_34400525的博客
10-28 232
目的: 遍历系统中的回调 类型: 与Xuetr遍历到的类型相同 如有雷同,还望见谅。。。有错误或者不恰当的地方请指正。 附件中代码大量冗余,可以将相同的部分写成一个函数,一开始没注意,懒得改了。。。 详细实现见代码 环境: WINXPSP3大量使用硬编码,本次仅在于实现我的虚拟机环境下的遍...
Sfilter过滤
kernweak的博客
06-03 862
文件监控技术分为hook,过滤,回调。 文件监控系统就是绑定和过滤,进程的各种操作被封装成一个IRP,再发给驱动的设备对象,驱动的设备对象通过各种分发函数处理操作,过滤就是在设备对象上面再绑定一个新的设备对象,先经过我们的设备对象。在去原来的设备对象。 分层驱动框架与过滤 irp从上往下经过不同设备栈,先经过文件过滤驱动设备(由文件过滤驱动创建),文件卷设备(盘符C盘D盘这些),磁盘设备...
白话IoRegisterFsRegistrationChange
sqqsongqiqi的专栏
01-09 757
IoRegisterFsRegistrationChange()注册回调函数,监视文件系统的激活或者注销。  status = IoRegisterFsRegistrationChange( DriverObject, SfFsNotification ); SfFsNotification 函数声明: VOID SfFsNotification ( IN PDEVIC
一个简单的文件系统过滤驱动框架
01-11 1355
很多人认为文件系统过滤驱动很复杂,其实也有一定道理,因为需要有很多细节需要考虑到,这是一个简单的文件系统过滤驱动,抛去了大部分细节,留下了一个简单的框架,其实这样文件系统过滤驱动就变得蛮简单的,很多接口可以不用实现,只要知道大致流程,其它都将会很清晰。 #define DBG 1 #include #include "fsfilter.h" PDEVICE_OBJECT g_Cdo; PD
读源码笔记--文件过滤驱动FileSpy第2篇 -- 绑定CDO
junjie1595的专栏
11-18 1445
第一篇中,已经解读了DriverEntry这个函数,函数里面就是做了一些初始化工作,创建用于通信的设备,设置各种回调,注册文件系统变动回调等等。 今天接着看filespy.c中的SpyFsNotification函数。该函数是IoRegisterFsRegistrationChange注册的文件系统变动回调函数。先看这个的理由如下: 在没看任何代码前,我的思维是:首先绑定系统中的所有物
dubbo配置filter隐式传参
a490789580的博客
03-05 6837
在dubbo使用过程中,有一些通用参数如果显式的在接口参数中传递,使用起来会有一些不方便。 比如:经常使用的session中存放的用户信息,如果都放入参数中传递,这样会耦合到业务逻辑中了,这时隐式传参就是一种比较好的处理方式了。 话不多说,下面是利用dubbo提供的RpcContext隐式传参的方式: RpcContext.setAttachments(Map&amp;lt;String, String&amp;...
SwapBuffer分析
jimk1983的专栏
10-25 3954
将原先自己的博客迁移! 介绍 自己开辟一块缓存,将文件进行缓存交换,后续都是操作该缓存,例如加密解密等,等待操作完成后,再将缓存交换回去。(https://docs.microsoft.com/zh-cn/windows-hardware/drivers/ifs/file-system-minifilter-drivers)         修改示例代码的INF文件,将相关的swap
sfilter开源驱动分析(一)--文件过滤的基本步骤
jimk1983的专栏
10-24 2310
NT的I/O管理器支持分层的驱动程序模式。         当应用层的CreateFile() (R3层)  --> || NtCreateFile() [I/O管理器在这一层,ntdll.dll]  -->|| 内核驱动层(R0层) ,这里讨论的主要是针对最后的内核驱动层的处理。          当每个IRP被处理的时候,它会经过驱动层中的各个驱动程序,直到最终被某个驱动程序调用IoCo
SwapBuffer驱动进阶(二)
jimk1983的专栏
10-25 1231
在前面的SwapBuffer驱动进阶(一)中我们添加了一个Create的回调,那么如何让后面的PreRead识别出相同的文件,采用的方法是添加文件流的上下文。 首先我们设计一个数据结构,也就是文件流的上下文,主要是需要保存什么文件信息: //文件的上下文信息 typedef struct _FILE_STREAM_CONTEXT { UCHAR               ucIsE
SwapBuffer驱动进阶(一)
jimk1983的专栏
10-25 913
之前通过阅读swapbuffer的read的部分代码,基本上弄明白了缓存交换的原理。         那么我们怎么做到文件的透明加解密,直接使用其缓存交换的方式来实现呢,目前参考了Antinvader, 有一个步骤是肯定要做的,那就是在Create的Post中,添加文件流的上下文,这样才能知道你打开的文件,是不是在read中确认是你需要处理的问题,因为在Read中的FileName是不准确的,例
sfilter文件驱动(二)--文件的关联
jimk1983的专栏
10-24 438
前面说了关于sFilter的设备的挂载,主要是针对DeviceObject, 通过将驱动创建多个过滤设备,挂载到系统的卷设备上, 系统就会将所有到该卷的IRP操作都重定向到我们的驱动派遣函数中         接着,我们这里要分析关于针对文件的操作了,经过几天的研究,发现了几个有趣的地方,首先了解下大致的流程。 IRP_MJ_CREATE: 创建文件例程 首先,我们操作文件的时候,都要先打开
基于贝叶斯网络BO-Transformer-BiLSTM实现负荷数据回归预测附matlab代码.rar
07-27
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
易语言 - 易语言我的世界3D源码
最新发布
07-27
易语言我的世界3D源码
avif-0.5.0-cp37-cp37m-manylinux2010_i686.whl
07-27
python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决!
pillow-10.4.0-pp310-pypy310_pp73-macosx_11_0_arm64.whl
07-27
基本介绍 名称与起源:Pillow,原名为PIL(Python Imaging Library),但PIL只支持Python 2版本。随着Python 3的普及,Pillow作为PIL的一个分支出现,兼容Python 3并提供更多的功能和改进。 主要功能:Pillow支持多种图像格式的打开、保存、显示以及基本的图像操作和处理,如裁剪、缩放、旋转、翻转、滤镜应用等。 跨平台性:Pillow库可以在不同的操作系统上运行,包括Windows、Linux和MacOS等。 主要功能模块 Pillow库包含多个功能模块,每个模块都提供了特定的图像处理功能。以下是一些常用的模块: Image:用于处理图像文件,提供打开、保存、调整大小、旋转、裁剪、滤镜等功能。 ImageDraw:提供在图像上绘制各种形状(如线条、矩形、圆形)和文本的功能。 ImageFont:用于加载和使用TrueType字体文件,以便在图像上绘制文本时设置字体样式、大小和颜色。 ImageFilter:提供各种滤镜效果,如模糊、锐化、边缘增强等,用于图像增强、特效处理和图像识别等应用。 ImageEnhance:用于调整图像的亮度、对比度、颜色饱和度等参数,使图像更加清晰、明亮或具有特定的调色效果。 高级功能 除了基本的图像处理功能外,Pillow还支持一些高级功能,如色彩空间转换、直方图均衡化等。这些功能可以帮助用户进行更复杂的图像处理和分析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值