wdk 下的 FltRegisterFilter

最新推荐文章于 2023-06-19 12:36:49 发布
最新推荐文章于 2023-06-19 12:36:49 发布
阅读量1.2k 收藏
点赞数
文章标签: callback filter null struct object query
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lhj6105_lhj/article/details/7891367
版权
本文介绍了WDK中的FltRegisterFilter函数,该函数用于注册过滤器,并详细解析了结构体FLT_REGISTRATION,包括其包含的一系列回调函数如FilterUnloadCallback、InstanceSetupCallback等。通过设置这些回调函数,开发者可以定制文件系统过滤驱动的行为。
摘要由CSDN通过智能技术生成
NTSTATUS
  FltRegisterFilter(
    IN PDRIVER_OBJECT  Driver,
    IN CONST FLT_REGISTRATION  *Registration,
    OUT PFLT_FILTER  *RetFilter

    ); 


1.  参数介绍

1.1 Driver

通过DriverEntry 传递进来的。

1.2  Registration

是一个结构体,有一系列的callback 定义:

typedef struct _FLT_REGISTRATION {
  USHORT  Size;
  USHORT  Version;
  FLT_REGISTRATION_FLAGS  Flags;
  CONST FLT_CONTEXT_REGISTRATION  *ContextRegistration;
  CONST FLT_OPERATION_REGISTRATION  *OperationRegistration;
  PFLT_FILTER_UNLOAD_CALLBACK  FilterUnloadCallback;
  PFLT_INSTANCE_SETUP_CALLBACK  InstanceSetupCallback;
  PFLT_INSTANCE_QUERY_TEARDOWN_CALLBACK  InstanceQueryTeardownCallback;
  PFLT_INSTANCE_TEARDOWN_CALLBACK  InstanceTeardownStartCallback;
  PFLT_INSTANCE_TEARDOWN_CALLBAC

最低0.47元/天 解锁文章
lhj6105_lhj
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
FltRegisterFilter 调用失败的处理
Loong的专栏
04-08 1349
  FltRegisterFilter 调用失败的处理  今天准备调试昨天的一个mini filter 的时候,突然系统蓝屏了,感觉很奇怪,因为在以前是没有问题,而且这几天也没有改过代码,怎么突然有问题了呢?于是启动 windDBG 进行调试。   一 调试    在DriverEntry 里下了断点,运行到 FltRegisterFilter 时,...
文件系统驱动开发心得
leehq的专栏
03-05 2874
 * 打开文件系统对象的特殊方式    文件系统驱动接收到IRP请求IRP_MJ_CREATE时,如果IrpSp->Flags指定了SL_OPEN_TARGET_DIRECTORY,则表示并不是真的要打开指定的文件系统对象,而是要检查对象是否可以删除已经它所在的目录是否可以进行创建操作。 通常这样的请求会发生在重命名文件系统对象之前。 * 文件系统驱动处理相对路径    处理IRP_M
驱动编译FltRegisterFilterFltStartFiltering 错误
weixin_34293141的博客
08-21 1177
2019独角兽企业重金招聘Python工程师标准>>> ...
驱动开发:文件微过滤驱动入门
2301_78287784的博客
06-19 390
这里简单介绍一下如何摘除微过滤驱动回调函数,其实摘除回调的方法有多种,常用的第一种通过向过滤驱动中写出一个返回命令让其不被执行从而实现绕过,另一种是找到回调函数并替换为我们自己的回调,而在自己的回调中什么也不做,这里以第二种方法为例,实现替换的代码可以写成如下案例;传统过滤驱动而言的,传统文件过滤驱动相对来说较为复杂,且接口不清晰并不符合快速开发的需求,为了解决复杂的开发问题,微过滤驱动就此诞生,微过滤驱动在编写时更简单,多数。所接管,因为有了兼容层,所以在开发中不需要考虑底层。
Windows驱动_文件系统微小过滤驱动之五MiniFilter例程解析
Z18_28_19的专栏
10-30 7105
今天,上了下看雪,好久没上去了,现在的看雪,跟之前不一样了,刚毕业的那个时候,上面的大牛真是多,现在屈指可数了,可能这些大牛们,因为年纪的增长,已经不在一线了,或许因为家庭,每时间在论坛上逛了,也许都已经在创业了,现在这个APP泛滥的年代,意念和想法,已经不靠技术了,也没有多少人在研究着技术,目前的中国还是有些浮躁,其实好好想想,现在所有的系统,芯片还是掌握在别人手上,不要谈Android,Win
wdk帮助文档.pdf
03-16
WDK(Windows Driver Kit)是微软公司提供的一套用于开发Windows平台驱动程序的开发工具包。随着信息技术的发展,驱动程序开发变得越来越专业化,涉及的知识体系也越来越庞大。本知识点将详细介绍WDK文档中提及的与...
适用于 Windows 10 版本 2004 的 WDK
09-24
Windows 驱动开发工具包(WDK)是微软提供的一款关键工具,用于开发、测试和调试针对Windows操作系统的驱动程序。在这个特定的版本——"适用于 Windows 10 版本 2004 的 WDK"中,我们找到了一个与最新的Windows 10...
wdk8.1 离线安装包
11-13
Windows 驱动开发工具包(WDK)是微软提供的一款用于开发、调试和测试驱动程序的综合工具集。在本案例中,我们讨论的是WDK的8.1版本,这是一个离线安装包,意味着它不依赖互联网连接进行安装,这对于没有稳定网络...
win10 版本21H2 + vs2022 + Windows 11 版本 22H2 WDK 驱动工程demo
最新发布
08-21
这个压缩包文件的内容似乎是一个关于在Windows 10版本21H2、Visual Studio 2022以及Windows 11版本22H2环境下开发驱动程序的示例项目,名为"MyDriver1"。 首先,我们来详细了解下这些关键组件: 1. **Windows 10 ...
Minfilter过滤框架
Masimaro的专栏
10-23 2439
Minfilter过滤框架优势与传统的Sfilter过滤驱动相比,有这样几个优势 1. Minfilter加载顺序更易控制,Sfilter加载是随意的,也就是说它在IO设备栈上的顺序是根据其创建的顺序决定的,越晚创建的,越排在设备栈的顶部,而Minfilter根据它的一个全局变量——altitude规定了它在设备栈上的顺序 2. 具有可卸载能力,一般的hook或者过滤框架在卸载时可能仍然有程序在
Minifilter微过滤框架:框架介绍以及驱动层和应用层的通讯
扣的CODE
08-30 8540
minifilter是sfilter后微软推出的过滤驱动框架。相比于sfilter,他更容易使用,需要程序员做的编码更简洁。系统为minifilter专门制作了一个过滤管理器,这个管理器本身其实是一个传统过滤驱动,它向minifilter的使用者提供许多接口,让原本复杂的文件过滤驱动变得方便简单。之所以简单是因为传统的过滤驱动把大量的工作放在绑定设备上,而现在这些工作都交给minifilter中的
EXE和SYS通信MiniFilter基于事件方式
125096
12-30 1561
#ifndef _HEADER_HEAD_FILE #define _HEADER_HEAD_FILE #pragma once #include #include #include #include #ifndef MAX_PATH #define MAX_PATH 260 #endif NTKERNELAPI UCHAR * PsGetProcessImageFileN
面向Windows的文件透明加解密解决方案(3)——透明加解密驱动程序二
热门推荐
某熊的技术之路
05-31 1万+
3.3关键技术详解 对于用户的文件操作请求,Windows 用户层中对文件的各种操作映射到微过滤驱动中就转化为类型为Create,Read,Write 和Close 等的I/O 操作,因此只要对这些操作的内容进行过滤处理,即可达到透明加解密的目的。首先在IRP_MJ_CREATE 中查询目标文件是否是监控文件类型,创建一个StreamContext 并附着在文件对象上,并在StreamConte
Windows驱动_文件系统微小过滤驱动之三微小过滤驱动的操作
Z18_28_19的专栏
10-28 4533
30岁左右的程序员,现在除了奋斗以外,要开始考虑下自己的身体了,到了这个年纪,不能像之前20岁左右的年轻人一样不顾一切去拼搏。现在的自己,应该更讲究效率。所以选择公司也很重要。同样,运动开始变得必需了,要开始自己的运动计划,其实也是为了自己有更好的本钱去奋斗。去努力,还有一个考虑是这个年龄的程序员,已经不是一个人,正常的情况下,有儿子有老婆了,你的身体就变得更加的重要。所以,我们要爱惜自己的身体,
文件系统Minifilter驱动(十)
听风
03-02 4565
在Minifilter驱动中管理上下文上下文是minifilter驱动定义的一个结构,可以与一个filter管理器对象关联起来. Minifilter驱动可以为以下类型的对象创建和设置上下文: · 文件(仅Vista及以后版本.) · 实例· 卷· 流· 流句柄(文件对象) · Transactions (仅Vista及以后版本.) 除了卷上下文必须从非分页池中
文件系统Minifilter驱动(八)
听风
03-02 5983
Callback例程的Pre-oper和Post-oper一个minifilter驱动可以在它的DriverEntry例程中为它需要过滤的任何类型的I/O操作注册至多一个pre-oper callback例程和至多一个post-oper callback例程. Minifilter可以选择要过滤哪种类型的I/O. minifilter驱动可以为一个给定类型的I/O操作只注册一个pre-o
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值