使用Minifilter过滤驱动保护文件

最新推荐文章于 2025-03-04 15:56:38 发布
最新推荐文章于 2025-03-04 15:56:38 发布
阅读量699 收藏 3
点赞数
文章标签: 驱动开发 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18811919/article/details/132720649
版权 
代码如下:
可以保护拓展名.com文件不被删除、重命名、读写、可执行。

#include <ntifs.h>
#include <ntstrsafe.h>
#include <fltKernel.h>
static UNICODE_STRING ProtectedExtention = RTL_CONSTANT_STRING(L"com");
//卸载回调
PFLT_FILTER gFileterHandle;
NTSTATUS PtUnload(__in FLT_FILTER_UNLOAD_FLAGS Flags) {
	UNREFERENCED_PARAMETER(Flags);
	FltUnregisterFilter(gFileterHandle);
	return STATUS_SUCCESS;
}
//预回调函数用于绑定IRP_MJ_CREATE的IRP
FLT_PREOP_CALLBACK_STATUS NPPreCreate(__inout PFLT_CALLBACK_DATA Data,__in PCFLT_RELATED_OBJECTS FltObjects,__deref_out_opt PVOID *CompletionContext) {
	UNREFERENCED_PARAMETER(CompletionContext);
	PAGED_CODE();
	FLT_PREOP_CALLBACK_STATUS ret = FLT_PREOP_SUCCESS_NO_CALLBACK;
	NTSTATUS status;
	PFLT_FILE_NAME_INFORMATION FileNameInfo = NULL;
	//可以执行
	if (Data->Iopb->MajorFunction == IRP_MJ_CREATE) {
		if (!FlagOn(Data->Iopb->Parameters.Create.Options, FILE_DISALLOW_EXCLUSIVE)) {
			return ret;
		}
	}
	
	if (FltObjects->FileObject != NULL) {
		status = FltGetFileNameInformation(Data, FLT_FILE_NAME_NORMALIZED | FLT_FILE_NAME_QUERY_DEFAULT, &FileNameInfo);
		if (NT_SUCCESS(status)) {
			FltParseFileNameInformation(FileNameInfo);
			if (RtlCompareUnicodeString(&FileNameInfo->Extension, &ProtectedExtention, TRUE) == 0) {
				Data->IoStatus.Status = STATUS_ACCESS_DENIED;
				Data->IoStatus.Information = 0;
				ret = FLT_PREOP_COMPLETE;
			}
			FltReleaseFileNameInformation(FileNameInfo);
		}
	}
	return ret;
}


CONST FLT_OPERATION_REGISTRATION Callbacks[] = {
	{ IRP_MJ_CREATE, 0, NPPreCreate, NULL },				
	{ IRP_MJ_SET_INFORMATION, 0, NPPreCreate, NULL },		
	{ IRP_MJ_OPERATION_END }
};


CONST FLT_REGISTRATION FilterRegistration = {
	sizeof(FLT_REGISTRATION),
	FLT_REGISTRATION_VERSION,
	0,
	NULL,
	Callbacks,//回调函数
	PtUnload,//卸载回调
	NULL,
	NULL,
	NULL,
	NULL,
	NULL,
	NULL,
	NULL

};

NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT DriverObject, _In_ PUNICODE_STRING RegistryPath) {
	NTSTATUS status;
	UNREFERENCED_PARAMETER(RegistryPath);
	status = FltRegisterFilter(DriverObject,&FilterRegistration,&gFileterHandle);//注册Minifilter
	//ASSERT(NT_SUCCESS(status));
	//开启过滤
	if (NT_SUCCESS(status)) {
		status = FltStartFiltering(gFileterHandle);
		if (!NT_SUCCESS(status)) {
			//注册失败则退出
			FltUnregisterFilter(gFileterHandle);
		}
	}
	return status;
}

环境说明:
需要在链接器->输入->附加项->添加(fltMgr.lib)

在这里插入图片描述

Win64 驱动内核编程-17. MINIFILTER文件保护
天使也掉毛
03-18 1万+
MINIFILTER文件保护)     使用 HOOK 来监控文件操作的方法有很多,可以在 SSDT 上 HOOK 一堆和 FILE 有关的函数,也可以对 FSD 进行 IRP HOOK,不过这些方法既不方便,也不安全。微软推荐的文件操作过滤方法是使用过滤驱动,在 VISTA 之后,推荐使用 MINIFILTER (字面翻译是迷你过滤器)。MINIFILTER 基于标准的文件过滤驱动,但是微软
Minifilter实现目录保护
lastsurvivor的专栏
10-11 2640
这次的任务是对web服务器进行目录保护,防止增、删、改操作,我负责windows平台下的开发。经过半个月的摸索和各位大牛的帮助,已经实现了功能。以下是最近学习win内核的经验:            程序流程很简单,按照Minifilter框架,填写预操作回调函数。 所有IRP
文件保护_minifilter_文件保护_
09-29
采用minifilter框架编写的文件保护,ring3传入要保护的路径即可
Windows内核驱动 - MiniFilter文件系统过滤
最新发布
dxf1971738522的博客
03-04 342
Windows基于DDK/WDK的内核驱动开发
Minifilter目录保护
10-10
对某目录一下所有子目录文件进行保护 禁止增、删、改操作,包含应用层与内核通信所有代码,一起送了。
文件保护 miniflter
dingchangkejigongsi的博客
05-18 977
通过minifilter来实现对指定文件夹,禁止删除、重命名。以及指定保护文件,禁止用户修改、删除、重命名,禁止往指定文件夹里面新建文件、以及文件夹以及禁止拷贝文件。 探讨加QQ:2740458587
基于微过滤Minifilter的MiniSpy源码文件过滤驱动
10-30
在实际应用中,文件过滤驱动常用于数据保护、备份策略、病毒检测、权限管理等领域。例如,企业可能利用类似MiniSpy的技术来防止敏感数据泄露,或者在文件更改时自动触发备份。 总的来说,MiniSpy作为Minifilter驱动...
windows内科安全驱动开发minifilter禁止txt文件打开demo
08-13
《寒江独钓 Windows内核安全编程》的miniflter简单介绍和使用Minifilter驱动文件,用Minifilter.inf安装 UseMinifilter,应用层 Minifilter_dll ,应用层(客户程序和驱动层通信)
Windows MiniFilter过滤驱动开发指南
Windows MiniFilter过滤驱动开发指南涵盖了在Windows操作系统中开发文件系统过滤驱动程序的核心概念和技术细节。MiniFilter是一种文件系统过滤驱动,它运行在文件系统驱动之上,用于监控和处理文件系统相关的活动,...
深入学习minifilter过滤驱动源码解析
标题“minifilter源码”指向了一个与微软操作系统中文件系统过滤驱动相关的源代码资源。在Windows操作系统中,文件系统过滤驱动(也称为Minifilter驱动)是一种特殊的驱动程序,它在文件系统驱动的层面上进行工作,...
minifilter实现文件隐藏,很全,有源代码
04-20
里面是用windows驱动驱动minifilter框架实现的文件隐藏功能,里面有六个条目,前两个条目分别是驱动层和应用层的源代码;接下来的两个文件时应用层的文件(一个是配置文件,一个是exe应用层文件),InstMiniDrv是加载minifilter驱动文件,最后一个是生成的驱动文件,ps(以上文件在启动时都要以管理员权限启动,不然会失败,因为驱动的加载要用管理员权限才行)
C++,文件加密过滤驱动,文件保护程序
04-27
FileGuard 是一个文件保护程序,能对指定目录或指定文件进行监视并保护。主要功能有:删除保护,写保护,读保护,隐藏文件等。 组成文件: FileGuard.exe, FGHook.vxd, FGHelp.chm, 一个保护信息文件(默认为ProtFile.ini)。 使用时请确保前三个文件在同一目录下。 运行环境: IBM PC,Windows 9x/Me (NT下不能使用
Scavenger:minifilter驱动程序会保留所有修改和删除的文件
05-21
清道夫 它将所有已修改的文件和一些要删除的文件复制到C:\ Windows \ Scavenger \目录。 重要的 它最初是为了使自己熟悉微型过滤驱动程序而开发的,不太可能比使用其他开放源代码工具(例如或具有任何明显的优势。 由于它不处理FILE_DELETE_ON_CLOSE事件,因此也很不完整。 有关更全面的代码,请参考示例。 安装与卸载 通过此链接获取已编译文件的存档文件: https://github.com/tandasat/Scavenger/releases/latest 然后: 解压缩zip文件并将适当版本的文件部署到目标系统上。 在目标系统上,以管理员权限执行install.bat。 在x64位平台上,必须启用测试签名才能安装驱动程序。 为此,请以管理员权限打开命令提示符并键入以下命令,然后重新引导系统以激活更改。 bcdedit / set {当前}
文件保护系统,可以实现对文件的各种操作保护,防止被乱用
09-06
可以对文件进行保护 源码和执行文件都有!
miniFilter 拦截与通讯实例
06-01
基于vs2012 wdk8.1 minifilter拦截文件操作并与R3层通信
微软Minifilter过滤驱动源码解析
Minifilter是微软提供的一种文件系统过滤框架,它允许开发者实现一个过滤驱动(Filter Driver),这种驱动可以在文件系统级别上进行数据过滤、拦截并处理文件系统上的各种操作,如文件的创建、读取、写入和删除等。...
Minifilter过滤驱动与R3程序通讯实现文件保护
qq_18811919的博客
09-07 576
实现保护文件目录、R3层通过与过滤驱动通讯通知要保护文件目录,可执行创建不可删除或修改
过滤驱动实现保护特定程序
qq_45844442的博客
07-14 624
minifiter驱动,实现对特定的文件进行保护,防止打开、删除、修改属性等。三环程序C语言实现Minifilter动态安装与卸载。1.首先链接器的附加依赖项中导入。原型如下,其中第二参数是最重要的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

虚构之人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值