《Windows内核安全与驱动编程》-第十一章文件系统的过滤与监控-day1

最新推荐文章于 2020-05-11 22:00:36 发布
最新推荐文章于 2020-05-11 22:00:36 发布
阅读量612 收藏 1
点赞数
分类专栏: 驱动编程 学习记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38025365/article/details/105947308
版权

文件系统的过滤与监控

​ 文件系统过来吧的目标,是捕获Windows系统对文件的种种操作行为,比如文件的创建、打开、读写、目录的创建、打开、枚举、改名、删除等。捕获这些操作,能够实现许多强大的功能,比如检查病毒、数据加密、数据备份、安全监控等。

​ 不要把文件系统驱动和存储驱动和混淆。硬盘是典型的存储设备,只负责数据的读与写;而文件系统则不管数据是如何读写到硬盘或其他设备上的,它只负责数据是如何在硬盘的平坦空间内组织成文件和目录的。

​ 文件和目录都是很复杂的信息集合。比如一个文件至少有文件名、内容、大小、各种属性等,这些信息在硬盘实际空间中的保存结构和组织方式极其复杂。此外还有目录,目录是可以嵌套的。一个目录的删除移动都涉及其下的所有子目录和文件的删除移动。因此文件系统本身是极为复杂的系统,文件系统的过滤也同样县的复杂。

​ 一般来说,能在存储设备的层次上完成的功能就不在文件系统上完成。但是一旦涉及区分目录,比如要求对指定的某个目录下的文件可以加密,这时就需要文件系统过滤了。文件系统过滤最典型的应用是防毒软件。这类软件一般都代有文件过滤驱动,当Windows上任何软件试图写一个文件的时候,防毒软件都会过滤其写入的内容,检查其中是否有病毒的特征码。

11.1 文件系统的设备对象

11.1.1 控制设备与卷对象

​ 首先介绍文件系统的驱动会生成哪些设备对象。像FAST\NTFS这样的文件系统(FS)主要生成两类设备。首先文件系统驱动往往本身生成一个控制设备(COD),这个设备的主要任务是修改整个驱动的内部配置。因此一般的说,一个文件系统只对应一个COD。

​ 而另一类设备是这个文件系统的卷设备。一般一个卷对应一个逻辑盘。一个FS可能有多个加载的卷,也可能一个都没有。例如,如果计算机上有C、D、E、F四个逻辑盘,则有四个卷设备。实际上,“C:”是设备的符号链接名,而不是真正的设备名。我们可以使用专门查看符号链接的工具来查看,比如“C:”的设备名为“\Device\HarddiskVolume1”。

​ 注意,这个卷设备本身并不是文件系统驱动生成的,而是卷管理器生成的。但是当有一个卷使用了某种文件系统时,则该文件系统会对应地为该设备生成一个没有名字的设备对象,本章将它叫做文件系统的卷设备。即本章中所说的“卷设备”都特质文件系统的卷设备,并常用的卷设备的符号链接或者它们的名字。比如,如果C:、D: 是NTFS,则C:、D: 为NTFS的两个卷设备对象。

​ 但是这只是一种称呼。实际上我们在打开设备的时候,并不会去打开设备的真正的名字,因为那样打开的是一个真正的卷设备。所以我们绑定文件系统的卷设备,并不适用名字来解决的。

​ 这里可以看出,文件系统驱动是针对每个卷来生成一个设备对象的,而不是针对每个文件的。实际上,对文件的读写IRP都发送到卷设备对象上了。

​ 本章,我们需要关心的两类设备:控制设备和卷设备。发送给控制设备的请求一般都是文件系统控制IRP(IRP_MJ_FILE_SYSTEM_CONTROL);而发送给卷设备的IRP一般则是文件操作IRP。过滤的目标最终是为了得到文件操作IRP,但是控制设备的IRP一般用来捕获卷设备的生成信息。换句话说,最终目标是为了绑定文件系统的卷设备,但是前提是先绑定文件系控制设备。

11.1.2 生成自己的一个控制设备

​ 首先还是DriverEntry,进入的第一步是生成这个驱动自己使用的CDO。这非常重要!因为文件系统过滤驱动往往必须和外界的应用程序通信。而通信的主要接口就是这个控制设备。

​ 控制设备生成在路径“Fi了System\Filters”下。

NTSTATUS DriverEntry(
	IN	PDRIVER_OBJECT DriverObject,
	IN	PUNICODE_string RegistryPath
)
{
    //顶一个Unicode字符串
    UNICODE_STRING	nameString;
    RtlInitUnicodeString(&nameString,L"\\FileSystem\\Fileters\\SFilter");
    
    //生成控制设备
    status = IoCreateDevice(
    	DriverObject,
    	0,			//没有设备拓展
    	&nameString,
    	FILE_DEVICE_DISK_FILE_SYSTEM,	//设备类型
    	FILE_DEVICE_SECURE_OPEN,
    	FALSE,
    	&gSFilterControDeviceObject
    )
    //如果生成失败
    if(!NT_SUCCESS(status)){
        KdPrint(("生成控制设备失败,status = %08x\n",status))
        return status;
    }
    return status;
}

​ 这段代码目前只能生成一个控制涉笔,还没有对文件系统已经有的设备对象进行绑定。下回继续讲解文件系统过滤所需要注意的分发函数。

总结

本节主要讲了文件系统中的两类重要的设备对象:控制设备与卷设备。尤其要注意的是这里的卷设备与平常的卷设备并不是一个意义的卷设备,而是单独属于文件系统的一类卷设备。而控制设备主要作用为文件系统过滤驱动与外界通信的接口。

明日计划

11.2 文件系统的分发函数

Wwoc
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows内核安全驱动开发》自学笔记之@双机调试内核模块
lygl35的博客
12-22 413
虚拟机设置 Cmd命令行设置: bcdedit /debug ON bcdedit /bootdebug ON bcdeit /dbgsettings 书中最后 最后一条命令应该加"s"
8.4 Windows驱动开发:文件微过滤驱动入门
最新发布
CSDN
12-01 1万+
MiniFilter 微过滤驱动是相对于`SFilter`传统过滤驱动而言的,传统文件过滤驱动相对来说较为复杂,且接口不清晰并不符合快速开发的需求,为了解决复杂的开发问题,微过滤驱动就此诞生,微过滤驱动在编写时更简单,多数`IRP`操作都由过滤管理器`(FilterManager或Fltmgr)`所接管,因为有了兼容层,所以在开发中不需要考虑底层`IRP`如何派发,更无需要考虑兼容性问题,用户只需要编写对应的回调函数处理请求即可,这极大的提高了文件过滤驱动的开发效率。
windows内核安全驱动开发(pdf+源码).zip
01-04
windows内核安全驱动开发(pdf+源码).zip
Windows内核安全驱动编程》-第五章应用方面编程学习.md
WocW的博客
04-20 587
应用与内核通信 文章目录应用与内核通信5.2 应用方面的编程5.2.1 基本的功能需求5.2.2 在应用程序中打开与关闭设备5.2.3 设备控制请求5.2.4 内核中的对应处理5.2.5 实际演示明日计划 5.2 应用方面的编程 5.2.1 基本的功能需求 ​ 本节例子将简单实现一个通信需求: 应用程序可以随时发送字符串给内核驱动,而内核驱动将把这些字符串保存在自己的缓冲区中: 同时应用程序也可以...
Windows内核安全驱动编程》-第四章学习
WocW的博客
04-19 682
文章目录文件、注册表、线程4.1 文件操作4.1.1 使用 OBJECT_ATTRIBUTES4.1.2 打开和关闭文件4.1.3 文件读/写操作4.2 注册表操作4.2.1 注册表键的打开4.2.2 注册表键的读4.2.3 注册表键的写4.3 时间与定时器4.3.1 获取当前“滴答”数4.3.2 获取当前系统时间4.3.3 使用定时器4.4 线程与事件4.4.1 使用系统线程4.4.2 在线程中...
Windows内核安全驱动编程》-第十一章文件系统过滤监控-day4
WocW的博客
05-09 376
文件系统过滤 11.4 文件系统控制设备的绑定 11.4.1 生成文件系统控制设备的过滤设备 接下来要生成过滤设备,这里再次用到设备拓展。下面给出过本过滤设备设备拓展的数据结构。 typedef struct _SFILTER_DEVICE_EXTENSION{ //绑定的文件系统设备(真实设备) PDEVICE_OBJECT AttachedToDeviceObject; //与文件系统设备相关的真实设备,这个在绑定时使用 PDEVICE_OBJECT StorageS
寒江独钓--windows内核安全编程光盘源码_寒江独钓windows内核安全编程_
09-30
《寒江独钓--Windows内核安全编程》是一份深入探讨Windows操作系统内核安全编程的珍贵资源,由知名技术专家“寒江独钓”编著。这份资料包含了丰富的Windows内核驱动开发实例,覆盖了从磁盘驱动文件系统驱动到网络...
Windows内核安全驱动开发 随书源码.rar
06-18
Windows内核安全驱动开发》是一本深入探讨Windows操作系统内核驱动程序开发的专业书籍。随书源码rar文件提供了书中所讲解的各种实例代码,是学习和理解Windows内核安全以及驱动编程的重要辅助资源。这里我们将...
Windows内核安全驱动开发
06-03
Windows内核安全驱动开发》是一本专为IT专业人士,特别是那些对Windows操作系统底层机制、驱动程序开发以及系统安全感兴趣的读者所准备的教材。它深入浅出地讲解了Windows内核的工作原理,并且详细阐述了如何...
Windows内核安全驱动开发(随书光盘)
06-03
4. **文件系统过滤驱动**:文件过滤驱动可以在文件系统栈中插入,拦截并处理文件系统的操作,如读写、创建、删除等,常用于实现安全审计或数据保护功能。 5. **调试驱动**:调试驱动程序是开发过程中的重要环节,...
java实现windows文件系统操作监控
01-19
java实现的一个监控windows文件夹中的文件的增删改等操作,根据不同的需要修改代码,可以做成不同的功能,如文件检索,文件保护,文件自动加密等程序应用
Windows内核安全驱动编程》-第十一章文件系统过滤监控-day6
WocW的博客
05-11 409
11.6 读写操作的过滤 11.6.1 设置一个读处理函数 ​ 文件系统有多种操作,但是读写操作仍然是最重要的。比如杀毒软件对文件内容的读写进行监控,可以达到扫描病毒的目的。简单一点就是,文件在被读取时,杀毒软件扫描其中是否含有病毒特征码,就可以防止一些病毒从硬盘被加载到内存中执行;如果任意文件在被写入到磁盘时,也可以检测其中写入的内容是否含有病毒特征码,这样就可以防止病毒被写入硬盘,也就可以防止硬盘上的文件被感染。 ​ 在之前的代码中已经绑定了文件系统卷,而所有的文件都是保存在卷上的,所以处理截获到的主功
文件系统过滤监控
fengkuangfj的专栏
03-01 658
文件系统(File System/FS)过滤的目标:避祸Windows系统对文件的种种操作 文件系统驱动 和 存储驱动 的区别 存储设备层次 和 文件系统层次 存储设备过滤文件系统过滤 文件系统:FAT32 和 NTFS FAT32的驱动Windows下叫做fastfat.sys,NTFS的驱动Windows下叫做ntfs.sys,都在Windows系统目录中的drivers目
Windows文件系统过滤驱动开发教程(5)
weixin_30871905的博客
06-28 154
Windows文件系统过滤驱动开发教程 5.绑定FS CDO,文件系统识别器,设备扩展 上一节讲到我们打算绑定一个刚刚被激活的FS CDO.前边说过简单的调用wd_dev_attach可以很容易的绑定这个设备。但是,并不是每次my_fs_notify调用发现有新的fs激活,我就直接绑定它。 首先判断是否我需要关心的文件系统类型。我用下面的函数来获取设备类型。 // ...
Windows内核安全驱动编程》-第十一章文件系统过滤监控-day2
WocW的博客
05-07 456
文件系统过滤监控 文件系统的分发函数 11.2.1 普通的分发函数 ​ 上一节仅仅生成了控制设备,开发文件过滤驱动的主要工作还是撰写分发函数。在 DriverEntry 函数代码中,DriverObject 是参数驱动对象指针,现在来指定几个分发函数。SfPassThrough 负责所有不需要的处理,直接下发到下层驱动的IRP。 for(i=0;i<IRP_MJ_MAXIMUM_FUN...
寒江独钓-Windows内核安全编程(完整版).pdf
编程论坛
08-13 8541
寒江独钓-Windows内核安全编程(完整版).pdf 编写Windows内核程序,就意味着这个程序可以执行任意指令,可以访问计算机所有的软件、硬件资源。因此,稍有不慎就有可能将系统变得不稳定。Windows的设计者设计了各种驱动模型或者框架,如NT式内核驱动模型、WDM框架和新推出的WDF框架。在这些模型框架下编程,就使内核编程变得简单,同样也降低了内核程序崩溃的机会。其实,Windows驱动程...
Windows驱动开发WDM (13)- 过滤驱动
zj510的专栏
12-19 1万+
之前用的驱动例子是一个功能型驱动,只不过它操作的是一个虚拟设备。这个驱动创建的FDO(功能设备对象)是附在虚拟总线驱动创建的虚拟PDO之上的。这次来介绍一下不同于功能型驱动过滤驱动过滤驱动可以在功能型驱动的上面,称之为上层过滤驱动,或者高层,反正就这个意思。过滤驱动在功能型驱动下面,称之为下层过滤驱动。看示意图: 从名字上就可以知道过滤驱动是干啥用的。就是起过滤作用。比如: 1. 可以
文件系统过滤驱动基础知识
03-11 481
文件系统过滤驱动基础知识
Windows内核安全驱动编程》-第八章-键盘的过滤学习-day1
WocW的博客
04-24 834
文章目录键盘的过滤8.1 技术原理8.1.1 预备知识8.1.2 Windows 中从击键到内核8.1.3 键盘硬件原理8.2 键盘过滤的框架8.2.1 找到所有的键盘设备8.2.2 应用设备拓展8.2.3 键盘过滤模块的 DriverEntry8.2.4 键盘过滤模块的动态卸载明日计划 键盘的过滤 8.1 技术原理 8.1.1 预备知识 ​ 何为符号链接?符号链接其实就是一个“别名”,可以用一个...
windows内核安全驱动开发 pdf
10-04
Windows内核安全驱动开发》是一本针对Windows操作系统内核安全驱动开发的重要指南。该书主要介绍了关于Windows内核安全驱动开发的基础知识和技术,对于希望深入了解和学习这方面知识的读者来说具有很高的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值