minifilter开发文件过滤驱动、以及syser调试的经验

最新推荐文章于 2024-04-21 09:36:33 发布
最新推荐文章于 2024-04-21 09:36:33 发布
阅读量3.4k 收藏
点赞数
分类专栏: 文件系统驱动过滤 文章标签: 杀毒软件 编程 工具 汇编 windows 破解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jykj_007/article/details/5572815
版权

minifilter开发文件过滤驱动、以及syser调试的经验。


  刚刚完成一个产品的开发,用了两个月,真不容易,像我这种菜鸟,为了搞

清一个常识,得从老谭的那本古董级C程序设计翻起。


  首先说驱动教程。 楚狂人谭文的《寒江独钓-Windows内核安全编程》和张

帆的《Windows驱动开发技术详解》要反复地读。


  我用的是最新的WDK 7600,那个帮助真叫人汗,英文的倒罢了,怎么不

给个例子让人抄。。。

  
  WDK的安装和配置照楚狂人的说明,调试和安装工具真的很管用。但我照着配

置WINDBG做双机调试不成功,我的机器太老跑虑拟机太慢,我宁愿每天面对三十

次蓝屏重启也不愿等虑拟机总是100%的CPU任务。

  经验如下:
   1、最新版的syser不太支持虑拟机(至少在我的VM上不能用)。
   2、syser试用版限时7天,过时就不能调试你的.sys文件了。但是---

你将它卸载了,重启再安装再重启,还能接着用(我重装了三回)。大可不必用

破解版,这个很好的调试工具是我国高手吴岩峰开发的,如果你为公司干活,还

是要求BOSS破点血,都是coder不容易。
   3、你的.sys文件编译通过后,用配置好的INF安装。
   4、如果这个驱动已经安装过,请用SRVINSTW.EXE卸载后再安装
   5、启动s

最低0.47元/天 解锁文章
jykj_007
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
Minifilter过滤,功能实现对驱动目录的监控,包括创建,重命名,删除并实现hips
zhuhuibeishadiao
05-02 1万+
注意下:我的这套过滤只能用在nt6系统上 原因是使用一个nt6上才有的函数 见函数 PsGetProcessFullName 其实没必要自己来写获取全路径 因为minifilter已经给我们提供了获取全路径的函数 FltGetFileNameInformation 我就不改了,哈哈 说说遇到的问题吧 在监控创建的时候,我在卸载post中的,我拒绝后,在弹窗,2-3
基于微过滤MinifilterMiniSpy源码文件过滤驱动
10-30
基于文件过滤驱动minifilter过滤驱动框架开发,可以记录文件所有的操作,保存创建、重命名等,监控所有的I/O操作,包括驱动程序和用户端应用程序源码,对文件系统过滤有很大参考价值。
驱动开发:内核枚举Minifilter过滤驱动
weixin_47367099的博客
10-18 307
文件过滤驱动来说,微过滤驱动编写时更简单,其不需要考虑底层RIP如何派发且无需要考虑兼容性问题,微过滤驱动使用过滤管理器。则默认是输出当前系统中存在的过滤器数量,而如果传入的是一个内存地址,则将会枚举系统中所有的过滤器信息。规范,合理合规携带原创出处转载,如果不携带文章出处,并恶意转载多篇原创文章被本人发现,本人保留起诉权!函数,所以只需要调用这些函数即可获取到所有的过滤器地址,我们看下微软公开的信息。的地址,然后根据过滤器对象的地址,加上一个偏移,获得记录过滤器。中的定义以下样子,这里我们需要记下。
Minifilter: Windows 文件系统过滤驱动的轻量级解决方案
最新发布
gitblog_00074的博客
04-21 402
Minifilter: Windows 文件系统过滤驱动的轻量级解决方案 项目地址:https://gitcode.com/hkx3upper/Minifilter 项目简介 Minifilter 是一个开源项目,它提供了一种简单的方法来创建Windows文件系统的过滤驱动程序。作为一个低级别的系统组件,Minifilter允许开发者监控和控制文件操作,如读取、写入、删除和创建等,为各种安全、备份...
Windows Minifilter驱动 - 调式 (4)
zj510的专栏
09-18 2782
写任何程序动态调试是非常重要的。驱动开发也不例外。 通常现在写驱动的时候,都是在VM上跑的,调试手段基本也是本地windbg + 虚拟机。 虚拟机配置 我用的是win7, 第一步,看下面。成功执行后,会提示: The entry was successfully copied to {xxxxxxxxxxxxxxxxxxx} 第二步: 输入bcdedit /dbgsettin
Minifilter笔记
kernweak的博客
06-05 2947
Minfilter与legacy filter区别 比sfilter加载顺序更易控制. altitude被绑定到合适的位置。 Minfilter在注册表服务项中有一项Altitude值 此值越高位置越靠前 (待考证 每一个minifilter驱动必须有一个叫做altitude的唯一标识符.一个minifilter驱动的altitude定义了它加载时在I/O栈中相对其他minifilter驱动...
Window文件监控微过滤驱动
07-25
Windows内核层实现这样的功能,通常需要利用文件过滤驱动技术,特别是微过滤驱动Minifilter Driver)。本文将深入探讨“Window文件监控微过滤驱动”这一主题,包括其工作原理、应用以及如何实现。 一、微过滤...
文件系统Minifilter驱动(WDK翻译)技术详解
07-10
Minifilter驱动是Microsoft开发的,作为传统File System Filter Driver(FSD)的轻量级替代方案,主要用于实现文件系统过滤、日志记录、数据加密等高级功能。在Windows Driver Kit(WDK)中,提供了详细的文档和示例...
基于minifilter的分布式驱动文件透明加解密案例
09-28
这是我参加中国软件杯比赛时写的基于驱动文件透明加解密软件。程序有三部分,驱动内核代码,服务器短,客户端。驱动在系统内核级别对磁盘文件进行加密和解密,客户端实现了驱动的管理和通信,服务器端实现了加解密...
Windows文件系统过滤驱动开发教程 2nd.zip
05-18
开发文件系统过滤驱动需要安装特定的开发工具,如Microsoft Windows Driver Kit (WDK)。WDK提供了编译器、调试器和相关库,使得开发者能够创建、测试和调试驱动程序。此外,还需要熟悉Driver Verifier工具,以确保...
minifilter透明加解密源码
01-27
现在很多做透明加解密的初学者都比较困惑,不知从何下手,我也是如此,从什么都不会开始,慢慢肯文件系统内幕,到OSR上面请教,四个月的时间还是收获颇丰。其实真正研究以后会发现,很多都是体力活,要不断的去跟踪文件的操作流程。在这里发一个基于minifilter的透明加解密的驱动源码仅供大家参考,其中也实现了对文件标识的处理,文件标识放在文件尾部。算是抛砖引玉吧。坦白的说,这个代码并不稳定(偶尔与norton杀毒软件会有冲突),但是我觉得整个流程是正确的,可能有些细节还没有考虑清楚,我觉得对初学者还是有一定帮助吧,当然大虾们可以跳过,呵呵。另外,有关加解密算法的代码由于不是我写的,也不好公开,所以我把相关代码用“\\\”给注释掉了(但没有去掉),请大家见谅,不过不会对整个流程产生影响。大家可以重点看一下各个派遣函数的实现。 欢迎大家拍砖,觉得有点意思就顶一下啊,在看代码的过程中如果有什么好的建议,也希望能告诉我。 最后非常感谢XiangXiangRen,zzbwang,neak47等网友在这段时间内对我的帮助。XiangXiangRen的书以及zzbwang的帖子对我完成这项工作有很大的帮助和参考价值,在此谨与大家分享。 编译环境:WDK6001.18002 XP x86 PS: 您可以将附件中的代码进行修改和转发,但转发时请注明出处。 http://bbs.driverdevelop.com/htm_data/39/1001/119736.html
MiniFilter 项目总结
imaginationA的博客
04-11 1221
MiniFilter 项目总结 文章目录MiniFilter 项目总结WhyWhat什么是驱动什么是过滤驱动实现流程注册并启动过滤驱动(FltRegisterFilter)前过滤函数后过滤函数其他解释提示附录 Why &enmp;&enmp;初次开发驱动项目,谨以记录不堪的开发经历,推荐驱动书籍谭文 陈铭霖的《Windows内核安全和驱动开发》,张帆 史彩成的《驱动开发技术详解》。慢慢摸索着驱动开发项目,就像一个婴儿探索世界一样,需要一点勇气和毅力。 What   MiniFilter这个项
Minifilter知识总结
weixin_34221775的博客
05-07 438
Minifilter注重功能实现,不注重更深层的IRP之类的操控 编写Minifilter的第一件事是向过滤器宣告我们的微过滤器的存在。这里所谓的微过滤器是符合过滤器标准的过滤组件,它其实是一组回调函数,这组回调函数向过滤管理器注册之后,在合适的时机(比如,要求的文件操作发生时)过滤管理器就会以合适的方式来调用某个回调函数。 如果我们编写这个回调函数中的内容,就可以对文件系统加以过滤了。这比花很...
Minifilter过滤框架:框架介绍以及驱动层和应用层的通讯
扣的CODE
08-30 8482
minifilter是sfilter后微软推出的过滤驱动框架。相比于sfilter,他更容易使用,需要程序员做的编码更简洁。系统为minifilter专门制作了一个过滤管理器,这个管理器本身其实是一个传统过滤驱动,它向minifilter的使用者提供许多接口,让原本复杂的文件过滤驱动变得方便简单。之所以简单是因为传统的过滤驱动把大量的工作放在绑定设备上,而现在这些工作都交给minifilter中的
Minifilter的动态安装、加载及卸载
xum2008的专栏
06-08 3854
MINIFILTER框架的文件系统过滤驱动,无法使用的CreateService和OpenService进行动态加载。 看了一下,使用Inf文件安装Minifilter驱动的方式是在注册表驱动服务项下比传统驱动多创建了Instances子键,然后读取DefaultInstance值,这个值标明了Instance选项,然后,再去读指定的Instance的Altitude和Flags值。
Minifilter文件系统过滤框架
zyorz的博客
05-11 1652
原理正常的IRP流程是R3 API调用时,会将请求封装成一个IRP经过IO管理器到达文件系统,然后在发往磁盘存储系统,最后到达硬件。使用MiniFilter后会在IO栈中添加MiniFilter管理器。当IRP到达文件系统之前时,首先会被该管理器拦截。管理器会将IRP封装成CALLBACK_DATA,由管理器中存在的多个minifilter驱动依次处理。这些驱动位置是固定的,位置由altitude属
Minifilter
qq_41490873的博客
09-17 1468
Minifilter特点 在Minifilter框架中,不在需要自己去写代码生成设备,去绑定卷.这些框架已经做好了.唯一需要我们做的就是在Callback中处理我们感兴趣的回调函数而已. 创建文件 使用FltCreateFile 不能再使用ZwCreateFile 通信方式 在minifilter中改为通过端口通信. 驱动加载 使用inf文件安装 然后使用命令net start +驱动名 或者使用代码的方式加载,与NT驱动不同的是,需要新增两个注册表键值. Minifilter的注册 CONST FLT_
MiniFilter 工作原理
LYSM
05-14 1198
什么是 MiniFilter minifilter 是 sfilter 后微软推出的过滤驱动框架。相比于sfilter,更容易使用,需要程序员做的编码更简洁。系统为minifilter专门制作了一个过滤管理器,这个管理器本身其实是一个传统过滤驱动,它向minifilter的使用者提供许多接口,让原本复杂的文件过滤驱动变得方便简单。之所以简单是因为传统的过滤驱动把大量的工作放在绑定设备上,而现在这些工作都交给minifilter中的过滤管理器来完成。 MiniFilter 和其他驱动的区别 普通驱动: 也叫文
minifilter driver 如何调试
06-10
调试 minifilter driver,通常有以下几种方法: 1. 使用调试器:可以使用 windbg 或者 Visual Studio 等调试器,将 minifilter driver 的代码加载到调试器中,可以在代码中打上断点,单步调试等方式进行调试。 2...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值