一个简单的windows filesystem mini filter 驱动例子

已于 2022-11-25 23:47:39 修改
阅读量1.2k 收藏
点赞数
分类专栏: windows inners 文章标签: windows
于 2022-01-10 18:17:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pureman_mega/article/details/122416266
版权

代码网上都有,就讲一下解决安装问题:

1,mini filter 的安装,一开始还是像普通的 legacy driver一样,通过命令行 "sc create servicenam binPath type=kernel"发现一直报错:错误2,找不到文件;然后调整"sc create servicename binPath type=filesys";驱动可以起来,FltRegisterFilter失败,报错找不到对象(0xc0000034).原来mini filter driver 安装需要通过inf 文件来,就是要在注册表中添加一下额外的键值。

2,下载微软开源项目中的nullfilter.inf,修改一下:​​​​​​https://github.com/microsoft/Windows-driver-samples/blob/master/filesys/miniFilter/nullFilter/nullFilter.inf

 之后驱动服务可以正常起来,发现注册的回调函数没有触发;一顿google 发现是inf 文件中的:

Instance1.Flags = 0x1 ; Suppress automatic attachments 阻止自动附加,导致回调函数没有立马生效

把这个标志设为0,然后重启服务,回调函数马上就被触发了。

以下FltPreOperationCallback/FltPostOperationCallback为错误样例

#include"common.h"

#pragma comment(lib,"FltMgr.lib")
#pragma warning(disable:4100)
#pragma warning(disable:4189)

PFLT_FILTER gRetFilter;

/*
typedef FLT_PREOP_CALLBACK_STATUS
(FLTAPI *PFLT_PRE_OPERATION_CALLBACK) (
	_Inout_ PFLT_CALLBACK_DATA Data,
	_In_ PCFLT_RELATED_OBJECTS FltObjects,
	_Outptr_result_maybenull_ PVOID *CompletionContext
	);
	typedef FLT_POSTOP_CALLBACK_STATUS
(FLTAPI *PFLT_POST_OPERATION_CALLBACK) (
	_Inout_ PFLT_CALLBACK_DATA Data,
	_In_ PCFLT_RELATED_OBJECTS FltObjects,
	_In_opt_ PVOID CompletionContext,
	_In_ FLT_POST_OPERATION_FLAGS Flags
	);
typedef NTSTATUS
(FLTAPI *PFLT_FILTER_UNLOAD_CALLBACK) (
	FLT_FILTER_UNLOAD_FLAGS Flags
	);
*/

NTSTATUS FltFilterUnload(FLT_FILTER_UNLOAD_FLAGS Flags)
{
	DbgPrint("[***]majic is 0x%x\n", majic);
	DbgPrint("[***]mini filter unloaded!");
	return STATUS_SUCCESS;
}


FLT_PREOP_CALLBACK_STATUS FltPreOperationCallback(PFLT_CALLBACK_DATA Data, PCFLT_RELATED_OBJECTS FltObjects, PVOID* CompletionContext)
{
	FLT_PREOP_CALLBACK_STATUS status = 0;

	majic = 0x87654321;
	DbgPrint("[***]enter FltPreOperationCallback");
	return status;
}

FLT_POSTOP_CALLBACK_STATUS FltPostOperationCallback(PFLT_CALLBACK_DATA Data, PCFLT_RELATED_OBJECTS FltObjects,
	PVOID CompletionContext, FLT_POST_OPERATION_FLAGS Flags)
{
	FLT_POSTOP_CALLBACK_STATUS status = 0;

	majic = 0x12345678;

	DbgPrint("[***]enter FltPostOperationCallback");
	return status;
}

NTSTATUS RegisterMiniFilter()
{
	NTSTATUS status = STATUS_SUCCESS;
	PFLT_FILTER RetFilter = NULL;

	FLT_REGISTRATION FltRegistration = { 0 };

	const FLT_CONTEXT_REGISTRATION FltContext[] = { 
		{
			FLT_STREAMHANDLE_CONTEXT,
			0,
			0,
			1,
			0X31323334,
			NULL,
			NULL,
			NULL
        },
		{
			FLT_CONTEXT_END
        }
	};
	const FLT_OPERATION_REGISTRATION FltOperation[] = { 
		{
			IRP_MJ_CREATE,
			0,
			FltPreOperationCallback,
			FltPostOperationCallback,
			NULL
		},
		{
			IRP_MJ_READ,
			0,
			FltPreOperationCallback,
			FltPostOperationCallback,
			NULL
		},
		{
			IRP_MJ_WRITE,
			0,
			NULL,
			FltPostOperationCallback,
			NULL
        },
		{
			IRP_MJ_OPERATION_END
		}
	};

	FltRegistration.Size = sizeof(FLT_REGISTRATION);
	FltRegistration.Version = FLT_REGISTRATION_VERSION;
	FltRegistration.ContextRegistration = FltContext;
	FltRegistration.OperationRegistration = FltOperation;
	FltRegistration.FilterUnloadCallback = FltFilterUnload;

	status=FltRegisterFilter(gDriverObject, &FltRegistration, &RetFilter);
	if (NT_SUCCESS(status))
	{
		gRetFilter = RetFilter;
		//
		status=FltStartFiltering(RetFilter);
		if (NT_SUCCESS(status))
		{
			DbgPrint("[***]mini filter is started!");
		}
		else
		{
			DbgPrint("[***]failed to start mini filter,status:0x%x\n", status);
		}
	}
	else
	{
		DbgPrint("[***]failed to register mini filter,status:0x%x\n", status);
	}
	return status;
}

正确的FltPreOperationCallback/FltPostOperationCallback样例,如下

FLT_PREOP_CALLBACK_STATUS FltPreOperationCallback(PFLT_CALLBACK_DATA Data,
	PCFLT_RELATED_OBJECTS FltObjects,
	PVOID* CompletionContext)
{
	FLT_PREOP_CALLBACK_STATUS status = FLT_PREOP_SUCCESS_NO_CALLBACK;
	PFLT_FILE_NAME_INFORMATION nameInfo = NULL;

	majic = 0x87654321;


	if ((Data->Iopb->IrpFlags & IRP_PAGING_IO) || (Data->Iopb->IrpFlags & IRP_SYNCHRONOUS_PAGING_IO) || IoGetTopLevelIrp())
	{
		return FLT_PREOP_SUCCESS_NO_CALLBACK;
	}

	if ((FltObjects->FileObject) != NULL)
	{
		status = FltGetFileNameInformation(Data,
			FLT_FILE_NAME_NORMALIZED,
			&nameInfo);

		if (NT_SUCCESS(status))
		{
			status = FltParseFileNameInformation(nameInfo);
			if (NT_SUCCESS(status))
			{
				DbgPrint("file name:%wZ", &nameInfo->Name);
			}

			FltReleaseFileNameInformation(nameInfo);
		}
	}
	//DbgPrint("[***]enter FltPreOperationCallback");
	return FLT_PREOP_SUCCESS_NO_CALLBACK;
}

FLT_POSTOP_CALLBACK_STATUS FltPostOperationCallback(PFLT_CALLBACK_DATA Data,
	PCFLT_RELATED_OBJECTS FltObjects,
	PVOID CompletionContext,
	FLT_POST_OPERATION_FLAGS Flags)
{
	FLT_POSTOP_CALLBACK_STATUS status = FLT_POSTOP_FINISHED_PROCESSING;
	

	majic = 0x12345678;

	//DbgPrint("[***]enter FltPostOperationCallback");
	return status;
}

20220617

关于FltRegisterFilter内部逻辑,如下图:

 在FltpLinkFilterIntoFrame中对FltFilter->Base.PrimaryLink进行赋值。

pureman_mega
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
FltRegisterFilter 调用失败的处理
Loong的专栏
04-08 1332
  FltRegisterFilter 调用失败的处理  今天准备调试昨天的一个minfilter 的时候,突然系统蓝屏了,感觉很奇怪,因为在以前是没有问题,而且这几天也没有改过代码,怎么突然有问题了呢?于是启动 windDBG 进行调试。   一 调试    在DriverEntry 里下了断点,运行到 FltRegisterFilter 时,...
VS2019使用Mini-Filter
Heisenberg's blog
09-22 687
下载VS2019 下载并安装Windows Driver Kit (WDK), 我下载的是 下载完成后,一路"下一步",傻瓜式安装, 进入VS2019, 搜索如下
如何安装 Fltmgr.sys 驱动程序
ALCAT的专栏
06-12 1万+
Minifilter开发的驱动程序都依赖于驱动程序 Fltmgr.sys,也就是我们所说的File System Filter Manager。 从系统的安装镜像中提取Filter Manager所需要的文件,分为3步: 1. 文件包含4个:fltmgr.inf, fltmc.exe, fltmgr.sys, fltlib.dll 2. 这些文件都在安装文件的i386目录下,对应为:flt
Minifilter: Windows 文件系统过滤驱动的轻量级解决方案
最新发布
gitblog_00074的博客
04-21 399
Minifilter: Windows 文件系统过滤驱动的轻量级解决方案 项目地址:https://gitcode.com/hkx3upper/Minifilter 项目简介 Minifilter一个开源项目,它提供了一种简单的方法来创建Windows文件系统的过滤驱动程序。作为一个低级别的系统组件,Minifilter允许开发者监控和控制文件操作,如读取、入、删除和创建等,为各种安全、备份...
windows内科安全与驱动开发,minifilter禁止txt文件打开demo
08-13
《寒江独钓 Windows内核安全编程》的miniflter简单介绍和使用,Minifilter驱动文件,用Minifilter.inf安装 UseMinifilter,应用层 Minifilter_dll ,应用层(客户程序和驱动层通信)
代码方式安装minifilter驱动
qq_41490873的博客
09-11 933
// MiniFIlterInstall.cpp : 定义控制台应用程序的入口点。 // // MinifilterInstall.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include <windows.h> #include <winioctl.h> #include <winsvc.h> #include <stdio.h>
FileSystem:一个简单的文件系统
03-11
FileSystem是一个开源项目,其目标是实现一个简单但功能完整的文件系统。这个系统旨在提供基本的文件操作,如创建、读取、入、删除和移动文件,同时也支持目录的管理。通过理解FileSystem的设计和实现,我们可以...
filesystem-tree:一个简单的文件系统树
04-09
"filesystem-tree"项目则提供了一个简单的文件系统树模型,适用于测试、演示或教学目的。通过创建并克隆这样的树形结构,我们可以方便地模拟各种文件系统场景,无需每次需求来临时都从头构建。 文件系统树通常由...
FileSystem_简单文件系统的实现_
09-30
在这个主题中,我们关注的是一个简单的文件系统实现,它包含了基本的文件和目录操作,如创建、删除、列出目录内容等。以下是对这个项目的详细解读: 1. **文件系统基础**: 文件系统是一种用于组织和管理计算机...
FileSystem:一个用java简单的文件系统模拟器
06-23
而“FileSystem”是一个用Java语言编简单文件系统模拟器,旨在帮助用户理解和探索操作系统中的符号链接和硬链接等概念。 Java作为一种跨平台、面向对象的编程语言,因其丰富的类库和高效性能,常常被用于开发...
一个递归删除指定目录和文件的例子
09-26
结合这些文件,我们可以推测这是一个简单Windows GUI应用程序,用户通过对话框选择一个目录,然后程序递归删除所选目录及其内容。实际实现可能更复杂,包括错误处理、用户界面反馈等,但基本思路就是上述的递归...
miniFilter(所有框架代码以及对应的PPT资料,可以直接拿来进行修改即可完成各种驱动)
07-24
miniFilter(所有框架代码以及对应的PPT资料,可以直接拿来进行修改即可完成各种驱动)
MiniFilter教程
07-31
文件过滤驱动,文件过滤驱动 MiniFilter教程
File System Mini Filter Driver Step by Step
fxismonk的专栏
11-25 1586
zz from: http://www.easefilter.com/Forums_Files/MiniFilterExample.htm minispy sample is a tool to monitor and log any I/O and transaction activity that occurs in the system. This sample is similar
文件系统Minifilter驱动(五)
听风
03-02 6044
安装Minifilter驱动XP及更新的Windows OS中,你应该用INF文件和一个安装应用程序来安装你的minifilter驱动. (2K及更早的OS中,minifilter 驱动一般是借助Service Control Manager安装的.)注意"基于INF的安装"仅仅意味着你需要使用一个INF文件来复制文件并存储信息到注册表中.你没有被要求用仅仅一个INF文件来安装你的整个产品
Windows Minifilter驱动 - 加载顺序 (2)
zj510的专栏
09-17 6889
安装minifilter后,可以在注册表看到一些
MiniFilter文件系统学习
热门推荐
zhuhuibeishadiao
04-23 1万+
Minfilter与legacy filter区别 比sfilter加载顺序更易控制. altitude被绑定到合适的位置。  Minfilter在注册表服务项中有一项Altitude值 此值越高位置越靠前 (待考证 每一个minifilter驱动必须有一个叫做altitude的唯一标识符.一个minifilter驱动的altitude定义了它加载时在I/O栈中相对其他minifi
MiniFilter 学习
zfdyq
06-08 1930
最近学习了一下文件过滤系统,
C++filesystem将一个文件复制到另一个文件夹内
05-26
你可以使用C++的`std::filesystem`来实现文件复制功能。以下是一个示例代码: ```c++ #include <filesystem> #include <iostream> int main() { std::filesystem::path source_path("source/file.txt"); std::filesystem::path dest_path("destination/file.txt"); try { std::filesystem::copy_file(source_path, dest_path, std::filesystem::copy_options::overwrite_existing); std::cout << "File copied successfully!" << std::endl; } catch (std::filesystem::filesystem_error& e) { std::cerr << e.what() << std::endl; } return 0; } ``` 在上面的示例中,我们定义了源文件路径和目标文件路径。然后使用`std::filesystem::copy_file`函数来进行文件复制,其中`std::filesystem::copy_options::overwrite_existing`选项用于指定如果目标文件已经存在,则覆盖它。 注意,在使用`std::filesystem`之前,你需要包含`<filesystem>`头文件,并且在编译时需要链接`-lstdc++fs`选项。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值