EXE和SYS通信MiniFilter基于事件方式

最新推荐文章于 2022-11-18 11:33:25 发布
最新推荐文章于 2022-11-18 11:33:25 发布
阅读量510 收藏
点赞数
[cpp]  view plain  copy
  1. #ifndef _HEADER_HEAD_FILE  
  2. #define _HEADER_HEAD_FILE  
  3. #pragma once  
  4. #include <ntifs.h>  
  5. #include <ntddk.h>  
  6. #include <fltKernel.h>    
  7. #include <Ntstrsafe.h>    
  8.   
  9. #ifndef MAX_PATH  
  10. #define MAX_PATH    260  
  11. #endif  
  12.   
  13.   
  14.   
  15. NTKERNELAPI UCHAR * PsGetProcessImageFileName(__in PEPROCESS Process);  
  16.   
  17.   
  18.   
  19. //驱动控制代码  
  20. #define IOCTL_START CTL_CODE(FILE_DEVICE_UNKNOWN, 0x810,METHOD_BUFFERED, FILE_ANY_ACCESS)  
  21. #define IOCTL_STOP CTL_CODE(FILE_DEVICE_UNKNOWN, 0x811,METHOD_BUFFERED, FILE_ANY_ACCESS)  
  22.   
  23.   
  24.   
  25.   
  26. NTSTATUS PtUnload(__in FLT_FILTER_UNLOAD_FLAGS Flags);  
  27.   
  28. NTSTATUS PtInstanceQueryTeardown(__in PCFLT_RELATED_OBJECTS FltObjects, __in FLT_INSTANCE_QUERY_TEARDOWN_FLAGS Flags);  
  29.   
  30. CONST FLT_REGISTRATION FilterRegistration = {  
  31.     sizeof(FLT_REGISTRATION),         //  Size    
  32.     FLT_REGISTRATION_VERSION,           //  Version    
  33.     0,                                  //  Flags    
  34.     NULL,                               //  Context    
  35.     NULL,                               //  Operation callbacks    
  36.     PtUnload,                           //  MiniFilterUnload    
  37.     NULL,                               //  InstanceSetup    
  38.     PtInstanceQueryTeardown,            //  InstanceQueryTeardown    
  39.     NULL,                               //  InstanceTeardownStart    
  40.     NULL,                               //  InstanceTeardownComplete    
  41.     NULL,                               //  GenerateFileName    
  42.     NULL,                               //  GenerateDestinationFileName    
  43.     NULL                                //  NormalizeNameComponent    
  44. };  
  45.   
  46.   
  47. #endif  


[cpp]  view plain  copy
  1. #include "Header.h"  
  2.   
  3.   
  4. PFLT_FILTER gFilterHandle;  
  5. PFLT_PORT g_ServerPort;  
  6. PFLT_PORT g_ClientPort;  
  7.   
  8.   
  9. //同步事件对象  
  10. PRKEVENT g_pEventObject = NULL;  
  11. //句柄信息  
  12. OBJECT_HANDLE_INFORMATION g_ObjectHandleInfo;  
  13.   
  14. char g_szOutBuf[MAX_PATH] = { 0 };  
  15.   
  16. /* 
  17. 这里要注意:1.数据地址的对齐. 
  18. 2.文档建议使用:try/except处理. 
  19. 3.如果是64位的驱动要考虑32位的EXE发来的请求. 
  20. */  
  21. NTSTATUS MessageNotifyCallback(IN PVOID PortCookie, IN PVOID InputBuffer OPTIONAL, IN ULONG InputBufferLength, OUT PVOID OutputBuffer OPTIONAL, IN ULONG OutputBufferLength, OUT PULONG ReturnOutputBufferLength)  
  22. {  
  23.     NTSTATUS status = 0;  
  24.   
  25.     PAGED_CODE();  
  26.     UNREFERENCED_PARAMETER(PortCookie);  
  27.   
  28.     //返回用户一些信息.    
  29.     RtlCopyMemory(OutputBuffer, g_szOutBuf, strlen(g_szOutBuf) + 1);  
  30.     return status;  
  31. }  
  32.   
  33. VOID DisconnectNotifyCallback(_In_opt_ PVOID ConnectionCookie)  
  34. {  
  35.     PAGED_CODE();  
  36.   
  37.     UNREFERENCED_PARAMETER(ConnectionCookie);  
  38.   
  39.     FltCloseClientPort(gFilterHandle, &g_ClientPort);  
  40. }  
  41.   
  42. NTSTATUS ConnectNotifyCallback(IN PFLT_PORT ClientPort, IN PVOID ServerPortCookie, IN PVOID ConnectionContext, IN ULONG SizeOfContext, OUT PVOID * ConnectionPortCookie)  
  43. {  
  44.     PAGED_CODE();  
  45.   
  46.     UNREFERENCED_PARAMETER(ServerPortCookie);  
  47.     UNREFERENCED_PARAMETER(ConnectionContext);  
  48.     UNREFERENCED_PARAMETER(SizeOfContext);  
  49.     UNREFERENCED_PARAMETER(ConnectionPortCookie);  
  50.   
  51.     g_ClientPort = ClientPort;  
  52.     return STATUS_SUCCESS;  
  53. }  
  54.   
  55.   
  56. NTSTATUS PtInstanceQueryTeardown(__in PCFLT_RELATED_OBJECTS FltObjects, __in FLT_INSTANCE_QUERY_TEARDOWN_FLAGS Flags)  
  57. {  
  58.     return STATUS_SUCCESS;  
  59. }  
  60.   
  61.   
  62. NTSTATUS PtUnload(__in FLT_FILTER_UNLOAD_FLAGS Flags)  
  63. {  
  64.   
  65.     FltCloseCommunicationPort(g_ServerPort);  
  66.     FltUnregisterFilter(gFilterHandle);  
  67.     return STATUS_SUCCESS;  
  68. }  
  69.   
  70.   
  71. //设置注册表键值      
  72. NTSTATUS SetValueKey(PUNICODE_STRING pRegPath, PUNICODE_STRING pValueName, ULONG Type, wchar_t ValueData[MAX_PATH])  
  73. {  
  74.   
  75.   
  76.     //定义变量      
  77.     size_t pcch = 0;  
  78.     OBJECT_ATTRIBUTES objectAttribues;  
  79.     HANDLE hRegister = NULL;  
  80.     NTSTATUS ntstatus;  
  81.     USHORT cbszSize = 0;  
  82.   
  83.     //参数效验      
  84.     if (pRegPath == NULL || pValueName == 0 || ValueData == NULL)return FALSE;  
  85.   
  86.   
  87.     switch (Type)  
  88.     {  
  89.     case REG_SZ:  
  90.     {  
  91.         //获取长度      
  92.         RtlStringCchLengthW(ValueData, MAX_PATH, &pcch);  
  93.         if (pcch <= 0)return FALSE;  
  94.         cbszSize = (USHORT)(pcch * sizeof(wchar_t)) + sizeof(wchar_t);  
  95.     }  
  96.     break;  
  97.     case REG_DWORD:  
  98.     {  
  99.         cbszSize = sizeof(ULONG);  
  100.     }  
  101.     break;  
  102.     default:  
  103.         return STATUS_UNSUCCESSFUL;  
  104.     }  
  105.   
  106.   
  107.     //设置变量      
  108.     InitializeObjectAttributes(&objectAttribues, pRegPath, OBJ_CASE_INSENSITIVE, NULL, NULL);  
  109.   
  110.     //打开注册表      
  111.     ntstatus = ZwOpenKey(&hRegister, KEY_ALL_ACCESS, &objectAttribues);  
  112.     if (!NT_SUCCESS(ntstatus) || hRegister == NULL)return FALSE;  
  113.   
  114.   
  115.     //设置REG_SZ子健      
  116.     ntstatus = ZwSetValueKey(hRegister, pValueName, 0, Type, ValueData, cbszSize);  
  117.     ZwClose(hRegister);  
  118.     return ntstatus;  
  119. }  
  120.   
  121. //注册MiniFilter    
  122. NTSTATUS RegisterMiniFilter(PDRIVER_OBJECT DriverObject, PUNICODE_STRING pRegistryPath)  
  123. {  
  124.   
  125.   
  126.     UNICODE_STRING UnicodeDriverServerName;  
  127.     UNICODE_STRING UnicodeValue;  
  128.     UNICODE_STRING UnicodeSzText;  
  129.     UNICODE_STRING UnicodeSzServerNameInstances;  
  130.     ULONG ulValue;  
  131.     HANDLE hRegister;  
  132.     ULONG ulResult;  
  133.     NTSTATUS ntStatus;  
  134.     static wchar_t szInstances[MAX_PATH] = { 0 };  
  135.     static wchar_t szServerNameInstances[MAX_PATH] = { 0 };  
  136.     //初始化objectAttributes        
  137.     OBJECT_ATTRIBUTES objectAttributes;  
  138.     wchar_t* pFind = NULL;  
  139.     ULONG  nAltitude = 399998;  
  140.     int i = 0;  
  141.   
  142.     //参数效验      
  143.     if (DriverObject == NULL)return STATUS_UNSUCCESSFUL;  
  144.   
  145.   
  146.     if (pRegistryPath == NULL || pRegistryPath->Length <= 0)return STATUS_UNSUCCESSFUL;  
  147.     InitializeObjectAttributes(&objectAttributes, pRegistryPath, OBJ_CASE_INSENSITIVE, NULL, NULL);  
  148.     //创建或打开注册表项目        
  149.     ntStatus = ZwCreateKey(&hRegister, KEY_ALL_ACCESS, &objectAttributes, 0, NULL, (ULONG)REG_OPTION_NON_VOLATILE, &ulResult);  
  150.     if (hRegister == NULL || ntStatus != STATUS_SUCCESS) return STATUS_UNSUCCESSFUL;  
  151.     ZwClose(hRegister);  
  152.   
  153.     //DependOnService      
  154.     RtlInitUnicodeString(&UnicodeValue, L"DependOnService");  
  155.     SetValueKey(pRegistryPath, &UnicodeValue, REG_SZ, L"FltMgr");  
  156.   
  157.     //Instances      
  158.     RtlStringCbPrintfExW(szServerNameInstances, sizeof(szServerNameInstances), NULL, NULL, STRSAFE_FILL_BEHIND_NULL, L"%wZ\\Instances", pRegistryPath);  
  159.     RtlInitUnicodeString(&UnicodeSzServerNameInstances, szServerNameInstances);  
  160.     InitializeObjectAttributes(&objectAttributes, &UnicodeSzServerNameInstances, OBJ_CASE_INSENSITIVE, NULL, NULL);  
  161.     ntStatus = ZwCreateKey(&hRegister, KEY_ALL_ACCESS, &objectAttributes, 0, NULL, REG_OPTION_NON_VOLATILE, &ulResult);  
  162.     if (hRegister == NULL || ntStatus != STATUS_SUCCESS) return STATUS_UNSUCCESSFUL;  
  163.     ZwClose(hRegister);  
  164.   
  165.   
  166.   
  167.     //获取服务名      
  168.     pFind = wcsrchr(pRegistryPath->Buffer, '\\');  
  169.     if (pFind)  
  170.         RtlInitUnicodeString(&UnicodeDriverServerName, pFind + sizeof(char));  
  171.     else  
  172.         return STATUS_UNSUCCESSFUL;  
  173.   
  174.     //DefaultInstance      
  175.     RtlInitUnicodeString(&UnicodeValue, L"DefaultInstance");  
  176.     RtlStringCbPrintfExW(szInstances, sizeof(szInstances), NULL, NULL, STRSAFE_FILL_BEHIND_NULL, L"%wZ Instance", &UnicodeDriverServerName);  
  177.     SetValueKey(&UnicodeSzServerNameInstances, &UnicodeValue, REG_SZ, szInstances);  
  178.   
  179.   
  180.     //ProtectFile Instance      
  181.     RtlStringCbPrintfExW(szInstances, sizeof(szInstances), NULL, NULL, STRSAFE_FILL_BEHIND_NULL, L"%wZ\\%wZ Instance", &UnicodeSzServerNameInstances, &UnicodeDriverServerName);  
  182.     RtlInitUnicodeString(&UnicodeSzText, szInstances);  
  183.     InitializeObjectAttributes(&objectAttributes, &UnicodeSzText, OBJ_CASE_INSENSITIVE, NULL, NULL);  
  184.     ntStatus = ZwCreateKey(&hRegister, KEY_ALL_ACCESS, &objectAttributes, 0, NULL, REG_OPTION_NON_VOLATILE, &ulResult);  
  185.     if (hRegister == NULL || ntStatus != STATUS_SUCCESS) return STATUS_UNSUCCESSFUL;  
  186.     ZwClose(hRegister);  
  187.   
  188.     //Altitude      
  189.     RtlInitUnicodeString(&UnicodeValue, L"Altitude");  
  190.     SetValueKey(&UnicodeSzText, &UnicodeValue, REG_SZ, L"399999");  
  191.   
  192.   
  193.     //Flags      
  194.     RtlInitUnicodeString(&UnicodeValue, L"Flags");  
  195.     ulValue = 0;  
  196.     SetValueKey(&UnicodeSzText, &UnicodeValue, REG_DWORD, (wchar_t*)&ulValue);  
  197.   
  198.   
  199.     return ntStatus;  
  200. }  
  201.   
  202. //获取进程名  
  203. PCHAR GetProcessName16ByProcessId(HANDLE ProcessId)  
  204. {  
  205.     //定义变量  
  206.     NTSTATUS status = STATUS_UNSUCCESSFUL;  
  207.     PEPROCESS ProcessObj = NULL;  
  208.     PUCHAR ProcessName = NULL;  
  209.   
  210.     //进程ID和返回一个引用指针的过程EPROCESS结构  
  211.     status = PsLookupProcessByProcessId(ProcessId, &ProcessObj);  
  212.     if (NT_SUCCESS(status))  
  213.     {  
  214.         // ImageFileName    : [16]  "SogouExplorer.e"  
  215.         //使用这个函数,只能获取进程名称是16的长度,后面的被截取了。。。  
  216.         ProcessName = PsGetProcessImageFileName(ProcessObj);  
  217.         ObfDereferenceObject(ProcessObj);  
  218.     }  
  219.   
  220.     return ProcessName;  
  221. }  
  222.   
  223.   
  224.   
  225. VOID CreateProcessNotifyFunction(IN HANDLE  ParentId, IN HANDLE  ProcessId, IN BOOLEAN  Create)  
  226. {  
  227.     if (Create)  
  228.     {  
  229.         char* pName=GetProcessName16ByProcessId(ProcessId);  
  230.         if (pName)  
  231.         {  
  232.             RtlZeroMemory(g_szOutBuf, sizeof(g_szOutBuf));  
  233.             RtlCopyMemory(g_szOutBuf, pName, strlen(pName)+1);  
  234.   
  235.             //设置事件为有信号,通知应用层  
  236.             KeSetEvent(g_pEventObject, 0, FALSE);  
  237.         }  
  238.   
  239.     }  
  240.   
  241.     return;  
  242. }  
  243.   
  244.   
  245. VOID DriverUnload(DRIVER_OBJECT *DriverObject)  
  246. {  
  247.     PsSetCreateProcessNotifyRoutine(CreateProcessNotifyFunction, TRUE);  
  248.     UNICODE_STRING Win32Device;  
  249.     RtlInitUnicodeString(&Win32Device, L"\\DosDevices\\KernelHandle");  
  250.     IoDeleteSymbolicLink(&Win32Device);  
  251.     IoDeleteDevice(DriverObject->DeviceObject);  
  252.     return;  
  253. }  
  254.   
  255. NTSTATUS KernelHandleCreate(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)  
  256. {  
  257.     Irp->IoStatus.Status = STATUS_SUCCESS;  
  258.     Irp->IoStatus.Information = 0;  
  259.     IoCompleteRequest(Irp, IO_NO_INCREMENT);  
  260.     return STATUS_SUCCESS;  
  261. }  
  262.   
  263. NTSTATUS KernelHandleClose(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)  
  264. {  
  265.     Irp->IoStatus.Status = STATUS_NOT_SUPPORTED;  
  266.     Irp->IoStatus.Information = 0;  
  267.     IoCompleteRequest(Irp, IO_NO_INCREMENT);  
  268.     return Irp->IoStatus.Status;  
  269. }  
  270.   
  271. NTSTATUS KernelHandleDefaultHandler(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)  
  272. {  
  273.     NTSTATUS status = STATUS_SUCCESS;  
  274.     ULONG ulReturn = 0;  
  275.     PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(Irp);  
  276.     ULONG ulCtrlCode = stack->Parameters.DeviceIoControl.IoControlCode;  
  277.     PVOID InputBuffer = (PVOID)Irp->AssociatedIrp.SystemBuffer;  
  278.     PVOID OutputBuffer = (PVOID)Irp->AssociatedIrp.SystemBuffer;  
  279.     ULONG ulInputBufferSize = stack->Parameters.DeviceIoControl.InputBufferLength;  
  280.     ULONG ulOutputBufferSize = stack->Parameters.DeviceIoControl.OutputBufferLength;  
  281.   
  282.     switch (ulCtrlCode)  
  283.     {  
  284.     case IOCTL_START:  
  285.     {  
  286.         //设置同步事件  
  287.         if (InputBuffer == NULL || ulInputBufferSize < sizeof(HANDLE))  
  288.         {  
  289.             KdPrint(("Set Event Error~!\n"));  
  290.             break;  
  291.         }  
  292.   
  293.         //取得句柄对象  
  294.         HANDLE hEvent = *(HANDLE*)InputBuffer;  
  295.         status = ObReferenceObjectByHandle(hEvent, GENERIC_ALL, NULL, KernelMode, (PVOID*)&g_pEventObject, &g_ObjectHandleInfo);  
  296.         PsSetCreateProcessNotifyRoutine(CreateProcessNotifyFunction, FALSE);  
  297.         break;  
  298.     }  
  299.     case IOCTL_STOP:  
  300.     {  
  301.       
  302.         //移除进程创建通知函数  
  303.         PsSetCreateProcessNotifyRoutine(CreateProcessNotifyFunction, TRUE);  
  304.         //释放对象引用  
  305.         if (g_pEventObject != NULL)  
  306.         {  
  307.             ObDereferenceObject(g_pEventObject);  
  308.             g_pEventObject = NULL;  
  309.         }  
  310.   
  311.         break;  
  312.     }  
  313.     default:  
  314.         break;  
  315.     }  
  316.   
  317.   
  318.     Irp->IoStatus.Status = STATUS_SUCCESS;  
  319.     Irp->IoStatus.Information = ulOutputBufferSize;  
  320.     IoCompleteRequest(Irp, IO_NO_INCREMENT);  
  321.     return Irp->IoStatus.Status;  
  322. }  
  323.   
  324. NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT DriverObject, _In_ PUNICODE_STRING RegistryPath)  
  325. {  
  326.     NTSTATUS status;  
  327.     PDEVICE_OBJECT DeviceObject = NULL;  
  328.     UNICODE_STRING DeviceName;  
  329.     UNICODE_STRING Win32Device;  
  330.   
  331.     KdBreakPoint();  
  332.     DriverObject->DriverUnload = DriverUnload;  
  333.     RtlInitUnicodeString(&DeviceName, L"\\Device\\KernelHandle");  
  334.     RtlInitUnicodeString(&Win32Device, L"\\DosDevices\\KernelHandle");  
  335.   
  336.     DriverObject->MajorFunction[IRP_MJ_CREATE] = KernelHandleCreate;  
  337.     DriverObject->MajorFunction[IRP_MJ_CLOSE] = KernelHandleClose;  
  338.     DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = KernelHandleDefaultHandler;  
  339.   
  340.   
  341.   
  342.     status = IoCreateDevice(DriverObject,0,&DeviceName,FILE_DEVICE_UNKNOWN,0,FALSE,&DeviceObject);  
  343.     if (!NT_SUCCESS(status))  
  344.         return status;  
  345.     if (!DeviceObject)  
  346.         return STATUS_UNEXPECTED_IO_ERROR;  
  347.     DeviceObject->Flags |= DO_DIRECT_IO;  
  348.     DeviceObject->AlignmentRequirement = FILE_WORD_ALIGNMENT;  
  349.     status = IoCreateSymbolicLink(&Win32Device, &DeviceName);  
  350.     DeviceObject->Flags &= ~DO_DEVICE_INITIALIZING;  
  351.   
  352.   
  353.     do  
  354.     {  
  355.         PSECURITY_DESCRIPTOR sd;  
  356.         OBJECT_ATTRIBUTES oa;  
  357.         UNICODE_STRING uniString;  
  358.         status = RegisterMiniFilter(DriverObject, RegistryPath);  
  359.         if (!NT_SUCCESS(status))break;  
  360.   
  361.         status = FltRegisterFilter(DriverObject, &FilterRegistration, &gFilterHandle);  
  362.         if (!NT_SUCCESS(status))break;  
  363.   
  364.         status = FltBuildDefaultSecurityDescriptor(&sd, FLT_PORT_ALL_ACCESS);  
  365.         if (!NT_SUCCESS(status))break;  
  366.   
  367.         RtlInitUnicodeString(&uniString, L"\\CommunicationPort");  
  368.         InitializeObjectAttributes(&oa, &uniString, OBJ_KERNEL_HANDLE | OBJ_CASE_INSENSITIVE, NULL, sd);  
  369.         status = FltCreateCommunicationPort(gFilterHandle, &g_ServerPort, &oa, NULL, ConnectNotifyCallback, DisconnectNotifyCallback, MessageNotifyCallback, 1);  
  370.         FltFreeSecurityDescriptor(sd);  
  371.         if (!NT_SUCCESS(status))break;  
  372.   
  373.         status = FltStartFiltering(gFilterHandle);  
  374.         if (!NT_SUCCESS(status))break;  
  375.   
  376.     } while (FALSE);  
  377.   
  378.   
  379.     if (!NT_SUCCESS(status))  
  380.     {  
  381.         if (NULL != g_ServerPort) {  
  382.             FltCloseCommunicationPort(g_ServerPort);  
  383.         }  
  384.   
  385.         if (NULL != gFilterHandle) {  
  386.             FltUnregisterFilter(gFilterHandle);  
  387.         }  
  388.     }  
  389.   
  390.     return STATUS_SUCCESS;  
  391. }  




[cpp]  view plain  copy
  1. #include <windows.h>  
  2. #include <tchar.h>  
  3. #include <stdio.h>  
  4. //这两个文件在VS中没有,在WDK中有.    
  5. //如果要用VS编译要拷贝相应的文件到相应的目录或者改变目录的设置等.    
  6. #include <fltuser.h>    
  7. #pragma comment(lib, "fltLib.lib")    
  8.   
  9. HANDLE hDevice;  
  10. HANDLE g_hKernelEvent = NULL;  
  11. HANDLE g_hPort;  
  12.   
  13. #define     NPMINI_PORT_NAME       L"\\CommunicationPort"   
  14.   
  15. //驱动控制代码  
  16. #define IOCTL_START CTL_CODE(FILE_DEVICE_UNKNOWN, 0x810,METHOD_BUFFERED, FILE_ANY_ACCESS)  
  17. #define IOCTL_STOP CTL_CODE(FILE_DEVICE_UNKNOWN, 0x811,METHOD_BUFFERED, FILE_ANY_ACCESS)  
  18.   
  19.   
  20.   
  21. DWORD WINAPI ThreadProc(LPVOID lpParameter)  
  22. {  
  23.     printf("线程开始运行\n");  
  24.   
  25.     HRESULT hResult;  
  26.   
  27.   
  28.     while (WaitForSingleObject(g_hKernelEvent, INFINITE) == WAIT_OBJECT_0)  
  29.     {  
  30.         printf("收到状态\n");  
  31.   
  32.         wchar_t InBuffer[] = L"test";  
  33.         char OutBuffer[MAX_PATH] = { 0 };  
  34.         DWORD bytesReturned = 0;  
  35.         hResult = FilterSendMessage(g_hPort, InBuffer, lstrlen(InBuffer), OutBuffer, sizeof(OutBuffer), &bytesReturned);  
  36.         if (IS_ERROR(hResult))  
  37.         {  
  38.             printf("FilterSendMessage fail!\n");  
  39.         }  
  40.         else  
  41.         {  
  42.             printf("FilterSendMessage ok!\n");  
  43.         }  
  44.   
  45.         printf("从内核发来的信息是:%s\n", OutBuffer);  
  46.   
  47.         //设置同步事件为无信号,等待下一次通知  
  48.         ResetEvent(g_hKernelEvent);  
  49.     }  
  50.   
  51.     printf("线程结束\n");  
  52.     return 0;  
  53. }  
  54.   
  55.   
  56.   
  57.   
  58.   
  59. int main(void)  
  60. {  
  61.   
  62.     //创建手动重置的事件  
  63.     g_hKernelEvent = CreateEvent(NULL, TRUE, FALSE, NULL);  
  64.   
  65.   
  66.     //打开驱动的符号链接  
  67.     hDevice = CreateFile(L"\\\\.\\KernelHandle", GENERIC_READ | GENERIC_WRITE, 0,NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);  
  68.   
  69.     if (INVALID_HANDLE_VALUE == hDevice)  
  70.     {  
  71.         printf("CreateFile fail!\n");  
  72.         getchar();  
  73.         getchar();  
  74.         return FALSE;  
  75.     }  
  76.     DWORD dwRet;  
  77.     DeviceIoControl(hDevice, IOCTL_START, &g_hKernelEvent, sizeof(g_hKernelEvent), NULL, NULL, &dwRet, NULL);  
  78.   
  79.   
  80.     HRESULT hResult = S_OK;  
  81.     hResult = FilterConnectCommunicationPort(NPMINI_PORT_NAME, 0, NULL, 0, NULL, &g_hPort);  
  82.     if (IS_ERROR(hResult))  
  83.     {  
  84.         printf("FilterConnectCommunicationPort fail!\n");  
  85.         getchar();  
  86.         getchar();  
  87.         return hResult;  
  88.     }  
  89.     printf("FilterConnectCommunicationPort\n");  
  90.   
  91.     HANDLE hThread =CreateThread(NULL, NULL, ThreadProc, NULL, NULL, NULL);  
  92.     CloseHandle(hThread);  
  93.   
  94.   
  95.     getchar();  
  96.     getchar();  
  97.     CloseHandle(g_hPort);  
  98.     DeviceIoControl(hDevice, IOCTL_STOP, NULL, 0, NULL, NULL, &dwRet, NULL);  
  99.     CloseHandle(hDevice);  
  100.     return 0;  
  101. }  
H-KING
关注
精选_Minifilter驱动程序与用户层程序通信_源码打包
03-10
Minifilter驱动程序与用户层程序通信
Uncaught ReferenceError: but is not defined
weixin_47120348的博客
06-14 321
出现了这个现象后 代码没有问题,可能是script表签是单标签,所以要注意script一定要是双标签
前端控制台报错is not defined
最新发布
tf1450332301的博客
11-18 7355
前端控制台报错is not defined
面向Windows的文件透明加解密解决方案(3)——透明加解密驱动程序二
某熊的技术之路
05-31 1万+
3.3关键技术详解 对于用户的文件操作请求,Windows 用户层中对文件的各种操作映射到微过滤驱动中就转化为类型为Create,Read,Write 和Close 等的I/O 操作,因此只要对这些操作的内容进行过滤处理,即可达到透明加解密的目的。首先在IRP_MJ_CREATE 中查询目标文件是否是监控文件类型,创建一个StreamContext 并附着在文件对象上,并在StreamConte
文件系统Minifilter驱动(二)
听风
03-02 1万+
二、Filter管理器模型的优势Filter管理器模型在现有的legacy过滤驱动模型之上提供了以下优势: l 比filter加载顺序更易控制. 不像legacy过滤驱动,一个minifilter驱动可以在任何时候被加载且因其altitude被绑定到合适的位置。l 在系统运行期间的卸载能力. 不像在系统运行期间不能被卸载的legacy过滤驱动,minifilter驱动能在任意时间被
基于minifilter的分布式驱动级文件透明加解密案例
09-28
这是我参加中国软件杯比赛时写的基于驱动的文件透明加...驱动在系统内核级别对磁盘文件进行加密和解密,客户端实现了驱动的管理和通信,服务器端实现了加解密策略的定制,访问授权等。现在共享给需要研究驱动的同学。
基于微过滤器MinifilterMiniSpy源码文件过滤驱动
10-30
与FSDH相比,Minifilter提供了一种更加稳定、安全和高效的方式来处理文件系统操作。 MiniSpy是这样一个特定的Minifilter驱动示例,它展示了如何利用Minifilter框架来记录和分析文件系统的各种事件MiniSpy的核心...
minifilter.rar_minifilter_minifilter 透明_minifilter win7 x86_vis
07-14
描述中提到的"基于minifilter的透明加解密源实现"进一步确认了这是关于如何使用minifilter技术来设计和实现文件系统的透明加密和解密的源代码。 minifilter是微软引入的一种轻量级过滤驱动程序模型,它是Windows ...
minifilter_vs2019minifilter_vs2019minifilter_minifilter_minifilt
10-01
标题中的"minifilter_vs2019minifilter_vs2019minifilter_minifilter_minifilt"暗示了我们正在讨论一个与Visual Studio 2019相关的项目,该项目专注于开发Minifilter驱动程序。Minifilter驱动是Windows操作系统内核...
基于Minifilter的文件过滤驱动以及与应用层通讯(付代码)
C++入门到放弃
11-06 6511
实现应用层与驱动程序通讯,控制驱动程序,发送路径,达到指定目录禁止访问的目的。
文件,注册表过滤--SfilterMinifilter
05-16 1689
本公众号分享的所有技术仅用于学习交流,请勿用于其他非法活动,如有错漏,欢迎留言交流指正 文件,注册表过滤 分层驱动框架 NT驱动框架:单层驱动,只能接受自己进程的IRP Sifileter驱动框架:多层驱动,接受所有进程的IRP 过滤:分层驱动中再加一层而不影响它的上下层,以过滤它们之间的数据,对数据或行为进行安全控制。过滤是通过设备绑定实现的(有多少个文件卷设备就生成多少个文件过滤驱动设备对象一一绑定,这样,发给各个卷设备对象的IRP都会被监控到)。 磁盘过滤驱动:用于文件还原 绑定与..
EXESYS通信MiniFilter方式
125096
12-30 892
#ifndef _HEADER_HEAD_FILE #define _HEADER_HEAD_FILE #pragma once #include #include #ifndef MAX_PATH #define MAX_PATH 260 #endif #define EVENT_NAMEXP L"\\BaseNamedObjects\\FileMonEvent" //xp下
MiniFilter 通信过程中的要点。
xum2008的专栏
05-30 1897
    通信程序写好后,发现似乎不能有效的卸载程序,居然连关机都不能,是不是让人很郁闷,真的是这样的。。。然而,想到了早上对一些内容的学习,突然间发现,其实问题已经有了眉目,其实这样的问题发生的很是隐蔽的,不是很容易发现的,这个问题就是在通信过程中,我们自己生成的 PFLT_PORT 端口,如果我们不能在 FltUnregisterFilter 执行之前,将其关闭,不然,就会造成系统被
Cookies和Port(端口)
suamt的专栏
05-29 1565
最近碰到一个问题,在同一个机器上部署两个服务,通过不同端口访问,这两个服务又正好使用相同的服务名。 通过浏览器访问的时候,出现现象是:一个登录鉴权通过后、另一个再鉴权登录、再回到之前第一个登录的服务页面点任何的服务就退出要重新登录。 分析了下,发现是cookies在不同端口下、同服务名时浏览器没法区分从而导致cookies里面的session标志共用导致的。查了下,貌似cook
Visual Studio 2013开发 mini-filter driver step by step 应用层与内核通讯(8)
zhanghaiyang9999的专栏
09-21 1638
应用层与内核通讯是通过通讯端口来进行的,下面的这个API就是内核
解决Visual Studio无法打开"ntifs.h"和"ntddk.h",指定的任务可执行文件位置“stampinf.exe”无效的问题
热门推荐
XiaoShuTa的专栏
12-25 1万+
项目 -> 属性 -> 配置属性 -> 常规 -> Windows SDK 版本,注意是否使用了宏$(LatestTargetPlatformVersion),此宏表示最新的SDK版本,如果使用了此宏而实际上又没安装最新版本,会导致找不到SDK,本机实际只安装了10.0.17134.0,并没有安装10.0.17763.0,宏$(LatestTargetPlatformV...
Windows驱动_文件系统微小过滤驱动之五MiniFilter例程解析
Z18_28_19的专栏
10-30 7107
今天,上了下看雪,好久没上去了,现在的看雪,跟之前不一样了,刚毕业的那个时候,上面的大牛真是多,现在屈指可数了,可能这些大牛们,因为年纪的增长,已经不在一线了,或许因为家庭,每时间在论坛上逛了,也许都已经在创业了,现在这个APP泛滥的年代,意念和想法,已经不靠技术了,也没有多少人在研究着技术,目前的中国还是有些浮躁,其实好好想想,现在所有的系统,芯片还是掌握在别人手上,不要谈Android,Win
微软轻量级系统监控工具sysmon内核实现原理
浪子_三少(邮箱:basketwill@qq.com)
12-26 1130
上文讲解了sysmon的ring3部分实现原理,本文则开始讲解ring0部分。Sysmon的ring0是一个minifilter类型的驱动,内部实现了进程信息、文件访问信息以及注册表访问信息的记录,下面开始具体讲解它的实现流程。  一、          驱动DriverEntry的初始化  从DriverEntry(PDRIVER_OBJECTDriverObject, UNICODE_ST...
滤波器管理器与Minifilter驱动:简化开发与高效过滤
本文档主要介绍了Minifilter驱动器在Windows操作系统中的应用,特别是FileSystemMinifilterDrivers的相关概念和技术细节。FileSystemMinifilter是Microsoft提供的一个高级文件系统过滤框架,它允许第三方开发者更...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值