文件过滤驱动中 IRP_MJ_XX_INFORMATION 查询文件对象是文件还是目录的方法

最新推荐文章于 2022-03-21 22:06:33 发布
最新推荐文章于 2022-03-21 22:06:33 发布
阅读量633 收藏
点赞数
文章标签: 过滤驱动 目录 文件对象
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/keidoekd2345/article/details/49760449
版权

首先,WDK 中关于 IRP_MJ_XX_INFORMATION 请求有这样一段话

“The file system driver should extract and decode the file object to determine whether it represents a user file or directory open”

可是文件对象中没有找到那个地方标记了对象是文件还是目录。于是只能使用函数查询

FltQueryInformationFile()  这个函数只能运行在 IRQL==PASSIVE_LEVEL

不过幸好,微软给出了每个文件IO对应的IRQL 如下,IRP_MJ_XX_INFORMATION 刚刚好在 PASSIVE_LEVEL



Dispatch Routine IRQL and Thread Context

The following table summarizes the IRQL and thread context requirements for file system filter driver dispatch routines.

Dispatch routineCaller's IRQL:Caller's thread context:
CleanupPASSIVE_LEVELNonarbitrary
CloseAPC_LEVELArbitrary
CreatePASSIVE_LEVELNonarbitrary
DeviceControl (except paging I/O)PASSIVE_LEVELNonarbitrary
DeviceControl (paging I/O path)APC_LEVELArbitrary
DirectoryControlAPC_LEVELArbitrary
FlushBuffersPASSIVE_LEVELNonarbitrary
FsControl (except paging I/O)PASSIVE_LEVELNonarbitrary
FsControl (paging I/O path)APC_LEVELArbitrary
LockControlPASSIVE_LEVELNonarbitrary
PnPPASSIVE_LEVELArbitrary
QueryEaPASSIVE_LEVELNonarbitrary
QueryInformationPASSIVE_LEVELNonarbitrary
QueryQuotaPASSIVE_LEVELNonarbitrary
QuerySecurityPASSIVE_LEVELNonarbitrary
QueryVolumeInfoPASSIVE_LEVELNonarbitrary
Read (except paging I/O)PASSIVE_LEVELNonarbitrary
Read (paging I/O path)APC_LEVELArbitrary
SetEaPASSIVE_LEVELNonarbitrary
SetInformationPASSIVE_LEVELNonarbitrary
SetQuotaPASSIVE_LEVELNonarbitrary
SetSecurityPASSIVE_LEVELNonarbitrary
SetVolumeInfoPASSIVE_LEVELNonarbitrary
ShutdownPASSIVE_LEVELArbitrary
Write (except paging I/O)PASSIVE_LEVELNonarbitrary
Write (paging I/O path)APC_LEVELArbitrary

keidoekd2345
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
过滤驱动程序创建IRP查询文件信息
峥嵘岁月
02-04 5715
在开发Windows下文件系统过滤驱动程序时,我们经常需要先查询一下文件的属性信息,为了实现这个小目标,可以调用Windows Native API函数ZwQueryInformationFile并提供希望查询文件信息类的名字及结构即可。不过如果我们在驱动程序当自己处理信息查询请求,可以避免IRP重入的问题。1.自己创建文件信息查询IRPNTSTATUSQueryFileInforma
IRP_MJ_SET_INFORMATION
死胖子的博客
03-05 2234
IRP_MJ_SET_INFORMATION 什么时候发送 IO管理器和其他操作系统组件,其他内核模式驱动程序发送 IRP_MJ_SET_INFORMATION 请求。例如当用户模式下的应用程序调用一个像SetEndOfFile 的微软Win32函数,或者是内核模式下的组件调用ZwSetInformationFile时会发送这个请求。 操作:文件系统驱动程序 文件系统驱动程序应当提取和解码
less加管道tail_Linux之cat tail less常见用法
weixin_39957934的博客
12-21 175
1.cat通常查找出错误日志 cat error.log | grep 'foo' , 这时候我们还有个需求就是输出当前这个日志的前后几行:cat error.log | grep -C 10 'foo' #显示file文件里匹配foo字串那行以及上下10行cat error.log | grep -B 10 'foo' #显示foo及前10行cat error.log | grep -A 10 ...
文件系统Minifilter驱动(三)
听风
03-02 9839
5).管理文件名filter管理器消除了legacy过滤驱动重获和管理文件名所必需的许多工作。当一个名被请求时,filter管理器在引用计数结构以适当的格式为当前操作提供名: 规范名, opened名或短名.  minifilter驱动可以调用FltGetDestinationFileNameInformation 来为正被rename或其NTFS hard link正被创建的文件
面向Windows的文件透明加解密解决方案(3)——透明加解密驱动程序二
热门推荐
某熊的技术之路
05-31 1万+
3.3关键技术详解 对于用户的文件操作请求,Windows 用户层文件的各种操作映射到微过滤驱动就转化为类型为Create,Read,Write 和Close 等的I/O 操作,因此只要对这些操作的内容进行过滤处理,即可达到透明加解密的目的。首先在IRP_MJ_CREATE 查询目标文件是否是监控文件类型,创建一个StreamContext 并附着在文件对象上,并在StreamConte
Notepad 打开文本文件所看到的 IRP
free2o的专栏
04-21 3700
双击打开文本文件,看到notepad 发了下面这些 IRP IRP_MJ_ACQUIRE_FOR_SECTION_SYNCHRONIZATION IRP_MJ_QUERY_INFORMATION IRP_MJ_RELEASE_FOR_SECTION_SYNCHRONIZATION IRP_MJ_CLEANUP IRP_MJ_CLOSE ----------------
VRV.rar_文件 过滤_文件过滤驱动
09-24
【标题】"VRV.rar_文件 过滤_文件过滤驱动"涉及的核心概念是文件过滤驱动,这是一种在操作系统层面上实现文件系统保护的技术。文件过滤驱动(File Filtering Driver)是Windows操作系统内核模式驱动程序的一部分,它...
windows-file-filter-system-frame.rar_file system filter_文件过滤驱动
09-24
每个文件操作对应一个IRP文件过滤驱动需要识别并处理与文件系统相关的IRP,如IRP_MJ_CREATE、IRP_MJ_READ、IRP_MJ_WRITE等。 3. **注册表配置**:驱动的安装和卸载通常涉及注册表的修改,以将驱动添加到系统并...
windows-file-filter.rar_windows_文件 过滤_文件过滤
09-19
2. 拦截操作:通过实现预操作回调,我们可以拦截各种文件操作,如IRP_MJ_CREATE、IRP_MJ_READ、IRP_MJ_WRITE等。 3. 决策逻辑:在拦截操作后,根据业务需求编写决策逻辑,比如基于文件路径、文件类型、用户权限等...
file_system_filter_driver_introduce.rar_filter driver_文件过滤_文件过滤
09-20
2. **回调函数**:文件过滤驱动的关键在于定义一系列回调函数,如`IRP_MJ_CREATE`、`IRP_MJ_READ`、`IRP_MJ_WRITE`等,这些函数会在对应I/O操作发生时被调用。开发者可以在这些回调实现自己的业务逻辑,比如添加...
IFS文件过滤驱动程序开发之IRP文件操作接口的终极实现代码.zip
01-28
IFS(Installable File System)文件过滤驱动程序是Windows操作系统用于拦截和处理文件系统操作的一种内核模式组件。IRP(I/O Request Packet)是Windows内核用来在驱动程序之间传递I/O请求的结构体,它包含了I/O...
操作IRP: 所有驱动开发人员都要知道的知识.pdf
10-09
操作IRP: 所有驱动开发人员都要知道的知识 pdf
读懂常见IRP:IRP_MJ_CLEANUP/IRP_MJ_CLOSE/IRP_MJ_CREATE
07-13 5408
IRP_MJ_CLEANUP保持进程定义上下文信息的驱动器,必须在DispatchCleanup包含cleanup请求。何时发送: 收到IRP_MJ_CLEANUP意味着请求的目标设备与目标文件的句柄相关(也可能因为io请求后没有释放)入参: 无出参: 无操作: 该IRP在关闭 file object 句柄的进程上下文发送。因此,驱动器应该释放进程上下文所指
ReadFile WriteFile DO_DIRECT_IO IRP操作
迪迦 • 奥特曼
03-21 580
开头很重要的一句,我就在这里载坑了,kernel_address会直接与外面的buffer映射为同一部分,那么我们可以直接操这部分内存就行了。如果想保存,那直接保存kernel_address的内容即可。 kernel_address为外部内存对应的内核内存地址,实际上其实对应的为同一段物理地址 Driver.h #pragma once // 用于包含ddk.h的头文件 #ifdef __cplusplus extern "C" { #endif #include <ntddk.h&g
HIPS(Sfilter)
kernweak的博客
06-04 340
文件过滤那么就是相关分发函数的处理 FilterCreate(创建) FilterRead(一般不拦截,加解密处理) FilterWrite(修改,加解密处理) FilterSetInfo(删,重命名,IRP_MJ_SET_INFORMATION) Filterclose(一般不拦截,写关闭拦截) FIlterClean(写关闭) 代码片段 DriverObject->...
[Win32驱动10] 派遣函数与读写方式
輚至消亡
10-21 524
1. 派遣函数 在Windows,用户态进程的各类IO请求最后都会转化成对应的IRP请求并发送给底层驱动。其流程差不多是这样的,拿WriteFile来举例: 在用户态调用WriteFile函数 WriteFile会调用NTDLL.dll的NtWriteFile函数 NtWriteFile会陷入内核调用系统服务NtWriteFile(注意只是相同的名字,但本质完全不同) NtWriteFile会生成相应的IRP,对应IRP类型为: IRP_MJ_WRITE并将其发送给底层对应驱动 IRP会顺次
过滤器简介
好好学习,天天向上
06-19 2023
1. Filter管理器和Minifilter驱动架构   Filter管理器是一个内核模式驱动,它遵照legacy文件系统filter模型并暴露了FSFD必需的一般功能。利用这些功能,第三方开发者可以写minifilter驱动,这样的驱动比legacy FSFD更易于开发,因此缩短了开发过程同时制造出更高质量、更灵活的驱动。 1.1 Filter管理器概念 Filter管理器随
<学习笔记>Windows驱动开发技术详解__派遣函数
The New Old Things
09-23 4398
派遣函数是Windows驱动程序的重要概念。驱动程序的主要功能是负责处理I/O请求,其大部分I/O请求是在派遣函数处理的。 用户模式下所有对驱动程序的I/O请求,全部由操作系统转换为一个叫做IRP数据结构,不同的IRP会被“派遣”到不同的派遣函数IRP与派
IRP派遣操作
dengjiatao9832的博客
09-21 154
IRPTrace工具跟踪IRP 派遣函数(Dispathc Funtion)是windows驱动的重要概念。驱动程序的主要功能是负责处理I/O请求,其大部分I/O请求是在派遣函数处理的。用户模式下所有对驱动程序的I/O请求。全部由操作系统转化为一个叫做IRP的数据结构,不同的IRP数据会派遣到不同的派遣函数IRP(I/O Request Package) 和win...
IRP_MJ_WRITE
最新发布
03-08
当应用程序或驱动程序需要向设备或文件写入数据时,会发起一个IRP_MJ_WRITE请求。 IRP_MJ_WRITE的处理过程通常包括以下几个步骤: 1. 应用程序或驱动程序发起IRP_MJ_WRITE请求。 2. 内核将该请求传递给相应的设备...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值