文件系统Minifilter驱动(四)

最新推荐文章于 2024-06-11 10:47:12 发布
最新推荐文章于 2024-06-11 10:47:12 发布
阅读量4.3k 收藏 4
点赞数
分类专栏: 文件系统驱动翻译 文章标签: filter callback 测试工具 工作 测试 processing

四、控制Filter管理器操作

在早于Vista的Windows中,filter管理器的操作由注册表中下列REG_DWORD AttachWhenLoaded值控制:

HKLM/System/CurrentControlSet/Services/FltMgr

当AttachWhenLoaded被设置为零时,filter管理器不会绑定到任何卷上直到某个minifilter驱动向filter管理器注册.当AttachWhenLoaded被设置为1时,filter管理器在引导时绑定到所有卷上。 

2K SP4及以后或XP SP2及更高版本上AttachWhenLoaded的默认值为零。2K3 SP1及后来版本上AttachWhenLoaded默认值为1. 

Vista中AttachWhenLoaded值不存在. 

当minifilter驱动安装到Vista之前的Windows版本上,软件安装器应置AttachWhenLoaded为1.若修改前AttachWhenLoaded的值为零,则安装器应在minifilter驱动安装之后重启系统.

五、开发和测试工具

本节描述的filter管理器工具在2K3 SP1的IFS Kit和Vista及以后版本的OS中提供了. 

也鼓励Minifilter驱动开发者使用多用途的内核模式开发和测试工具,比如带驱动指定的规则的PREfast. 

Fltmc.exe 控制程序

Fltmc.exe控制程序是common minifilter驱动管理操作的命令行应用. 开发者可以使用Fltmc.exe来加载和卸载minifilter驱动,绑定minifilter驱动到卷或从卷断开,以及枚举minifilter驱动、实例和卷. 

!fltkd Debugger Extension

!fltkd调试器扩展命令在Debugging Tools for Windows中已经提供了.常用命令如下: 

命令

描述

!cbd

filter管理器等价于!irp 

!filter

列出指定的filter的详细信息 

!filters

列出所有已绑定的minifilter驱动

!frames

列出所有filter管理器frame和已绑定的minifilter驱动

!instance

列出指定的实例的详细信息 

!volume

列出指定卷的详细信息

!volumes

列出所有卷和已绑定的minifilter驱动实例的详细信息

更多额外的调试帮助,要用调试版本的Fltmgr.sys测试minifilter驱动,它包含众多的 ASSERT来捕获一般错误. 

Filter Verifier

Filter Verifier是Driver Verifier 中的一个I/O Verification 选项,它验证minifilter驱动对filter管理器函数的使用. 安装Filter Verifier要用filter管理器.开发者应总是开发minifilter驱动时使用Driver Verifier和Filter Verifier. 

要使用Filter Verifier,需指定minifilter驱动的名并激活Driver Verifier(Verifier.exe)中的I/O Verification选项.当minifilter驱动向filter管理器注册时校验就会启动. 

Filter Verifier在minifilter驱动中的有效用法如下: 

纠正参数的使用和context的调用

纠正pre-oper和post-oper callback例程的返回值

使callback数据中参数的改变一致而连贯

Filter Verifie跟踪以下filter管理器objects:

Contexts 

Callback数据机构

Queued Work Items 

NameInformation结构

File Objects 

Filter Objects 

实例Objects 

卷Objects 

六、嵌入Legacy过滤驱动的指导方针

微软鼓励开发者嵌入legacy过滤驱动到filter管理器模型中来获得更好的性能提高系统稳定性. 有经验的开发者会发现把legacy过滤驱动嵌入到minifilter驱动中相对容易。微软的过滤驱动开发者被推荐用以下方法: 

首先用一套可靠的衰退测试来验证legacy过滤驱动和被嵌入的 minifilter驱动之间的行为. 

创建一个minifilter驱动外壳并系统地从legacy过滤驱动中移植功能到minifilter驱动.例如,令attachment保持工作,然后每次嵌入一个操作,在操作之后进行测试。

最后改变用户模式/内核模式通信,以便你可以使用现有工具来测试minifilter驱动. 

用PREfast编译并激活Driver Verifier中的Filter Verifier I/O verification选项来测试. 

在嵌入过程期间,你应该回顾所有的legacy过滤驱动代码来充分利用filter管理器的能力.尤其是要记住下面的: 

如果合适基于IRP I/O和fast I/O的操作用相同的操作,这会减少代码的复制. 

当注册操作时,minifilter驱动可以明确选择忽视所有的分页I/O和cached I/O,出去检查这些的代码. 

实例通知大大简化了attach/detach逻辑. 

仅注册minifilter驱动必须处理的操作;你可以忽视其他所有的事情. 

利用filter管理器context和名管理支持. 

利用filter管理器对发出非递归I/O的支持. 

minifilter驱动不能以来局部变量来维护从pre-oper处理到post-oper处理的context.可以分配一个lookaside列表来存储操作状态. 

当一个名或context结束时确定释放了引用. 

用户模式中的完成端口为构造队列添加了一项强大的技术。你大概只需要一个单一的连接到一个单一的已命名的端口. 

下表列出了legacy过滤驱动中的一般操作和它们是如何映射到filter管理器模型的. 

Legacy 过滤驱动模型

Filter管理器模型

没有完成例程的Pass-through操作

如果你的minifilter驱动从不为这种类型的I/O操作工作,则无需为其注册pre-oper或post-oper callback例程. 

否则,从为此操作注册pre-oper callback例程中返回 FLT_PREOP_SUCCESS_NO_CALLBACK. 

Returning FLT_PREOP_SUCCESS_NO_CALLBACK一文.

带有完成例程的Pass-through操作

从pre-oper callback例程中返回 FLT_PREOP_SUCCESS_WITH_CALLBACK. 

Returning FLT_PREOP_SUCCESS_WITH_CALLBACK.

在 pre-oper callback 例程中pend操作

需要时调用FltLockUserBuffer来确保一切user buffer都被锁住,以便在一个worker线程中它们能被访问. 

通过调用像FltAllocateDeferredIoWorkItem和 FltQueueDeferredIoWorkItem这样的支持例程queue工作到一个为worker线程. 

从pre-oper callback例程中返回FLT_PREOP_PENDING. 

当准备好返回I/O操作到filter管理器时,调用FltCompletePendedPre-oper. 

Pending an I/O Operation in a Pre-oper Callback Routine

在post-oper callback例程中pend操作

在pre-oper callback例程中,调用 FltLockUserBuffer来确保user buffers已经被锁住,以便在一个worker线程中它们能被访问. 

通过调用像FltAllocateGenericWorkItem 和FltQueueGenericWorkItem这样的支持例程来queue工作到一个worker线程. 

从post-oper callback例程中返回 FLT_POSTOP_MORE_PROCESSING_REQUIRED. 

当准备好返回I/O操作给filter管理器时,调用 FltCompletePendedPost-oper. 

看 Pending an I/O Operation in a Post-oper Callback Routine

令操作同步

从pre-oper callback例程中返回 FLT_PREOP_SYNCHRONIZE. 

Returning FLT_PREOP_SYNCHRONIZE

在 pre-oper callback例程中完成操作

设置最终的操作状态和信息到该操作的FLT_CALLBACK_DATA 结构的成员IoStatus 中. 

从pre-oper callback 例程中返回 FLT_PREOP_COMPLETE. 

Completing an I/O Operation in a Pre-oper Callback Routine

在操作已经于pre-oper callback例程中被pend之后完成该操作

设置最终的操作状态和信息到该操作的FLT_CALLBACK_DATA 结构的成员IoStatus 中. 

从worker线程中调用FltCompletePendedPre-oper 来处理I/O操作,以CallbackStatus参数的形式传递FLT_PREOP_COMPLETE. 

Completing an I/O Operation in a Pre-oper Callback Routine

在完成例程中做所有的完成工作

从 post-oper callback例程中返回FLT_POSTOP_FINISHED_PROCESSING. 

Writing Post-oper Callback Routines

在安全的IRQL做完成工作

从 post-oper callback例程中调用FltDoCompletionProcessingWhenSafe. 

Ensuring that Completion Processing is Performed at Safe IRQL

从完成例程中Signal一个事件

从此操作的post-oper callback例程中返回FLT_PREOP_SYNCHRONIZE. 

filter管理器在IRQL <= APC_LEVEL像调用pre-oper callback例程一样调用同一线程context中的post-oper callback例程. 

Returning FLT_PREOP_SYNCHRONIZE

令一个成功的create操作失败

从create的post-oper callback例程中调用 FltCancelFileOpen. 

设置一个适当的错误NTSTATUS值到该操作的 FLT_CALLBACK_DATA 结构的成员IoStatus 中. 

返回FLT_POSTOP_FINISHED_PROCESSING. 

Failing an I/O Operation in a Post-oper Callback Routine

不接受某个I/O走fast I/O路线

从该操作的post-oper callback例程中返回FLT_STATUS_DISALLOW_FAST_IO. 

看 Disallowing a Fast I/O Operation in a Pre-oper Callback Routine

修改某个I/O操作的参数

设置已修改的参数值到该操作的FLT_CALLBACK_DATA 结构的成员Iopb 中. 

要通过调用FltSetCallbackDataDirty标记FLT_CALLBACK_DATA结构为dirty,除非你已经修改了FLT_CALLBACK_DATA结构的成员IoStatus中的内容. 

看 Modifying the Parameters for an I/O Operation

锁住这个操作的user buffer 

使用Accessing the User Buffers for an I/O Operation一文中描述的技术和指导方针. 

 

jununfly
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Minifilter微过滤框架:框架介绍以及驱动层和应用层的通讯
扣的CODE
08-30 8489
minifilter是sfilter后微软推出的过滤驱动框架。相比于sfilter,他更容易使用,需要程序员做的编码更简洁。系统minifilter专门制作了一个过滤管理器,这个管理器本身其实是一个传统过滤驱动,它向minifilter的使用者提供许多接口,让原本复杂的文件过滤驱动变得方便简单。之所以简单是因为传统的过滤驱动把大量的工作放在绑定设备上,而现在这些工作都交给minifilter中的
Minifilter文件系统过滤框架
zyorz的博客
05-11 1664
原理正常的IRP流程是R3 API调用时,会将请求封装成一个IRP经过IO管理器到达文件系统,然后在发往磁盘存储系统,最后到达硬件。使用MiniFilter后会在IO栈中添加MiniFilter管理器。当IRP到达文件系统之前时,首先会被该管理器拦截。管理器会将IRP封装成CALLBACK_DATA,由管理器中存在的多个minifilter驱动依次处理。这些驱动位置是固定的,位置由altitude属
Minifilter笔记
kernweak的博客
06-05 2956
Minfilter与legacy filter区别 比sfilter加载顺序更易控制. altitude被绑定到合适的位置。 Minfilter在注册表服务项中有一项Altitude值 此值越高位置越靠前 (待考证 每一个minifilter驱动必须有一个叫做altitude的唯一标识符.一个minifilter驱动的altitude定义了它加载时在I/O栈中相对其他minifilter驱动...
MiniFilter 项目总结
imaginationA的博客
04-11 1227
MiniFilter 项目总结 文章目录MiniFilter 项目总结WhyWhat什么是驱动什么是过滤驱动实现流程注册并启动过滤驱动(FltRegisterFilter)前过滤函数后过滤函数其他解释提示附录 Why &enmp;&enmp;初次开发驱动项目,谨以记录不堪的开发经历,推荐驱动书籍谭文 陈铭霖的《Windows内核安全和驱动开发》,张帆 史彩成的《驱动开发技术详解》。慢慢摸索着驱动开发项目,就像一个婴儿探索世界一样,需要一点勇气和毅力。 What   MiniFilter这个项
启动应用程序出现fltMC.exe找不到问题解决
最新发布
wbcmbfy的博客
06-11 379
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个fltMC.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现fltMC.exe丢失要怎么解决?
Minifilter知识总结
weixin_34221775的博客
05-07 440
Minifilter注重功能实现,不注重更深层的IRP之类的操控 编写Minifilter的第一件事是向过滤器宣告我们的微过滤器的存在。这里所谓的微过滤器是符合过滤器标准的过滤组件,它其实是一组回调函数,这组回调函数向过滤管理器注册之后,在合适的时机(比如,要求的文件操作发生时)过滤管理器就会以合适的方式来调用某个回调函数。 如果我们编写这个回调函数中的内容,就可以对文件系统加以过滤了。这比花很...
Minifilter: Windows 文件系统过滤驱动的轻量级解决方案
gitblog_00074的博客
04-21 422
Minifilter: Windows 文件系统过滤驱动的轻量级解决方案 项目地址:https://gitcode.com/hkx3upper/Minifilter 项目简介 Minifilter 是一个开源项目,它提供了一种简单的方法来创建Windows文件系统的过滤驱动程序。作为一个低级别的系统组件,Minifilter允许开发者监控和控制文件操作,如读取、写入、删除和创建等,为各种安全、备份...
6.6 Windows驱动开发:内核枚举Minifilter微过滤驱动
CSDN
12-01 1万+
Minifilter 是一种文件过滤驱动,该驱动简称为微过滤驱动,相对于传统的`sfilter`文件过滤驱动来说,微过滤驱动编写时更简单,其不需要考虑底层RIP如何派发且无需要考虑兼容性问题,微过滤驱动使用过滤管理器`FilterManager`提供接口,由于提供了管理结构以及一系列管理API函数,所以枚举过滤驱动将变得十分容易。
MiniFilter 工作原理
LYSM
05-14 1209
什么是 MiniFilter minifilter 是 sfilter 后微软推出的过滤驱动框架。相比于sfilter,更容易使用,需要程序员做的编码更简洁。系统minifilter专门制作了一个过滤管理器,这个管理器本身其实是一个传统过滤驱动,它向minifilter的使用者提供许多接口,让原本复杂的文件过滤驱动变得方便简单。之所以简单是因为传统的过滤驱动把大量的工作放在绑定设备上,而现在这些工作都交给minifilter中的过滤管理器来完成。 MiniFilter 和其他驱动的区别 普通驱动: 也叫文
Minifilter
qq_41490873的博客
09-17 1472
Minifilter特点 在Minifilter框架中,不在需要自己去写代码生成设备,去绑定卷.这些框架已经做好了.唯一需要我们做的就是在Callback中处理我们感兴趣的回调函数而已. 创建文件 使用FltCreateFile 不能再使用ZwCreateFile 通信方式 在minifilter中改为通过端口通信. 驱动加载 使用inf文件安装 然后使用命令net start +驱动名 或者使用代码的方式加载,与NT驱动不同的是,需要新增两个注册表键值. Minifilter的注册 CONST FLT_
文件系统Minifilter驱动
pyq881120的专栏
09-09 1万+
1.Filter管理器和Minifilter驱动架构   Filter管理器是一个内核模式驱动,它遵照legacy文件系统filter模型并暴露了FSFD中必需的一般功能。利用这些功能,第三方开发者可以写minifilter驱动,这样的驱动比legacyFSFD更易于开发,因
基于微过滤器Minifilter的MiniSpy源码文件过滤驱动
10-30
基于文件过滤驱动minifilter过滤驱动框架开发,可以记录文件所有的操作,保存创建、重命名等,监控所有的I/O操作,包括驱动程序和用户端应用程序源码,对文件系统过滤有很大参考价值。
透明加密minifilter
12-31
基于minifilter过滤驱动技术的透明加密源码 【注意下载完进行评论时,要选择评论框上面的星级,这样减掉的分不仅能原数返回,而且还能多赠1分】
如何安装 Fltmgr.sys 驱动程序
ALCAT的专栏
06-12 1万+
Minifilter开发的驱动程序都依赖于驱动程序 Fltmgr.sys,也就是我们所说的File System Filter Manager。 从系统的安装镜像中提取Filter Manager所需要的文件,分为3步: 1. 文件包含4个:fltmgr.inf, fltmc.exe, fltmgr.sys, fltlib.dll 2. 这些文件都在安装文件的i386目录下,对应为:flt
minifilter 驱动开发总结
d2262272d的博客
01-07 739
对于初次涉及驱动开发的朋友,首先说一下下开发前的心理建设,开发的耗时一般都很长,过程很繁琐,成就感真的就只有完成整个驱动后的那一会快感。着重说明这是一件单身汉干的事,不要老是想着对象,否则及其容易出问题,找不出来的那种,开玩笑哈,只是说驱动开发过程中面向过程的思想比较重。 好了,说正经的,单刀直入就从工程创建说起,零碎的东西就三言两语带过哈! 一般安装vs的时候,都不会去吧驱动模块相关的东西...
驱动开发:文件微过滤驱动入门
热门推荐
CSDN
06-19 1万+
MiniFilter 微过滤驱动是相对于`SFilter`传统过滤驱动而言的,传统文件过滤驱动相对来说较为复杂,且接口不清晰并不符合快速开发的需求,为了解决复杂的开发问题,微过滤驱动就此诞生,微过滤驱动在编写时更简单,多数`IRP`操作都由过滤管理器`(FilterManager或Fltmgr)`所接管,因为有了兼容层,所以在开发中不需要考虑底层`IRP`如何派发,更无需要考虑兼容性问题,用户只需要编写对应的回调函数处理请求即可,这极大的提高了文件过滤驱动的开发效率。
minifilter框架监控文件创建框架
Cosmopolitan的博客
09-20 1370
#include <fltKernel.h> #include <dontuse.h> #include <suppress.h> #pragma prefast(disable:__WARNING_ENCODE_MEMBER_FUNCTION_POINTER, "Not valid for kernel mode drivers") PFLT_FILT...
Minifilter过滤驱动与R3程序通讯实现文件保护
qq_18811919的博客
09-07 377
实现保护文件或目录、R3层通过与过滤驱动通讯通知要保护的文件或目录,可执行创建不可删除或修改
【源码+文档】基于Minifilter框架的双缓冲透明加解密驱动
yuxibdd的博客
07-18 480
而实际上,我们把私有的缓冲作为密文缓冲,而密文缓冲不被允许下发NonCachedIo写请求,所以只剩下NonCachedIo的不解密的读请求,以及一点和明文缓冲的同步处理。需要在微软官网下载Cryptographic Provider Development Kit, 项目->属性的VC++目录的包含目录,库目录设置相应的位置。链接器的常规->附加库目录C:\Windows Kits\10\Cryptographic Provider Development Kit\Lib\x64。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值