《Windows内核安全与驱动编程》-第十一章文件系统的过滤与监控-day4

最新推荐文章于 2021-09-25 13:10:12 发布
原创 最新推荐文章于 2021-09-25 13:10:12 发布 · 525 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

文件系统的过滤

11.4 文件系统控制设备的绑定

11.4.1 生成文件系统控制设备的过滤设备
接下来要生成过滤设备,这里再次用到设备拓展。下面给出过本过滤设备设备拓展的数据结构。

typedef struct _SFILTER_DEVICE_EXTENSION{
    //绑定的文件系统设备(真实设备)
    PDEVICE_OBJECT AttachedToDeviceObject;
    //与文件系统设备相关的真实设备,这个在绑定时使用
    PDEVICE_OBJECT StorageStackDeviceObject;
    //如果绑定了一个卷,那么这是物理磁盘卷名;否则这是绑定的控制设备名
    UNICODE_STRING DeviceName;
    //用来保存名字字符串的缓冲区
    WCHAR DeviceNameBuffer[MAX_DEVNAME_LENGTH];
}SFILTER_DEVICE_EXTENSION,*PSFILTER_DEVICE_EXTENSION;

​ 这个数据结构完全是自定义的,这里我们只想记得自己绑定在那个设备上,如果想记录更多信息完全可以自定义再添加。这里我们在得到设备对象指针后,只需要使用下面代码就可以知道这个设备绑定的原始设备。

nextDeviceObject = ((PSFILTER_DEVICE_EXTENSION)DeviceObject->DeviceExtension->AttachedToDeviceObject);

​ 回顾以前的内容,为了让系统看起来过滤设备和原来的设备没什么区别,必须设置该设备的一些标志位与所绑定的设备相同。

if ( FlagOn( DeviceObject->Flags, DO_BUFFERED_IO )) {

        SetFlag( newDeviceObject->Flags, DO_BUFFERED_IO );
    }

    if ( FlagOn( DeviceObject->Flags, DO_DIRECT_IO )) {

        SetFlag( newDeviceObject->Flags, DO_DIRECT_IO );
    }

    if ( FlagOn( DeviceObject->Characteristics, FILE_DEVICE_SECURE_OPEN ) ) {

        SetFlag( newDeviceObject->Characteristics, FILE_DEVICE_SECURE_OPEN );
    }

​ 这里标志 DO_BUFFER_IODO_DIRECT_IO 对应着前面介绍过的缓冲IO和直接IO,两种方式的不同之处在于,外部向这些设备发送读写请求时,所用的缓冲地址将有所不同。

11.4.2 绑定文件系统控制设备

​ 下面直接给出完整函数并注释解读。只需要在文件系统变动回调函数中调用这个函数,就可以完成

最低0.47元/天 解锁文章
Windows核安全驱动编程-第十一章文件系统过滤监控-day5
WocW的博客
05-10 458
文件系统过滤监控 11.5 文件系统卷设备的绑定 11.5.1 从IRP中获得VPB指针 ​ 回忆前面说到的文件系统控制请求中的挂载请求。主功能号为 IRP_MJ_FILE_SYSTEM_CONTROL,次功能号为 IRP_MN_MOUNT_VOLUME 的IRP。对这种挂载卷的IRP的处理,调用了函数 SfFsControlMountVolume 这个函数的代码。在其中实现了绑定文件系系统卷的功能。 ​ 从这个IRP的信息中,如何得到文件系统的卷设备呢? 在 irpSp->Parameters.
Windows核安全驱动编程-第十一章文件系统过滤监控-day1
WocW的博客
05-06 771
文件系统过滤监控文件系统过来吧的目标,是捕获Windows系统对文件的种种操作行为,比如文件的创建、打开、读写、目录的创建、打开、枚举、改名、删除等。捕获这些操作,能够实现许多强大的功能,比如检查病毒、数据加密、数据备份、安全监控等。 ​ 不要把文件系统驱动和存储驱动和混淆。硬盘是典型的存储设备,只负责数据的读写;而文件系统则不管数据是如何读写到硬盘或其他设备上的,它只负责数据是如何在...
MFC之使用SCSI指令0x2A、0x28对USB设备进行读写问题(实测)
kifea的博客
12-25 1834
环境: 系统:Win7 设备:读卡器+T卡 问题:使用SCSI指令0x28读可以,0x2A进行写不成功,调试发现设备拒绝访问 原因: Win7之后,系统对2A命令写要求严格,设备必须加锁或者卸载卷才能操作。 解决方案: 有两种方法, 方法一:独占访问,即通过FSCTL_LOCK_VOLUME来设置独占访问。(有锁,相应的也有FSCTL_UNLOCK_VOLUME。关掉句柄也...
文件监控(教学版)
weixin_34092370的博客
11-19 208
参考FileSpy写的文件监控程序,但比它的抽象多了。可能瑞星的文件驱动也是这样写的,否则它为什么老阻止我安装驱动呢。测试程序是一个命令行小程序,负责打开设备,开启监控和关闭监控,运行时开启和关闭两次。   在DebugView中查看输出信息,我只是想看看能不能达到目的,所以信息量很少。   在驱动程序中开启和关闭监控的代码:   VOID AttachedToDeviceByName...
file system control (FSCTL)
点点滴滴的专栏
12-18 1145
关于FSCTL结构:http://msdn.microsoft.com/en-us/library/cc232013(PROT.13).aspx A process invokes an <a id="ctl00_MTCS_main_ctl01" onclick="function onclick(){Track(ctl00_MTCS_main_ctl00|ctl00_MTC
Windows核安全驱动编程-第十一章文件系统过滤监控-day3
WocW的博客
05-08 502
文件系统过滤监控 11.3 设备的绑定前期工作 11.3.1 动态地选择绑定函数 ​ sfilter 有一个有趣的地方是,使用了动态加载的方法来使用内核函数。只有高版本的Windows系统上才有IoAttachDeviceToDeviceStackSafe 这个函数。如果我们直接使用这个函数,那么在低版本的Windows系统上就会直接加载失败。因此,使用动态加载此类函数的好处就是,即使在低版本的Windows上也能成功加载。 ​ 在动态加载该函数时,如果失败则会使指针为NULL,而此时即使为NULL,我
Windows核安全驱动编程-第十一章文件系统过滤监控-day2
WocW的博客
05-07 584
文件系统过滤监控 文件系统的分发函数 11.2.1 普通的分发函数 ​ 上一节仅仅生成了控制设备,开发文件过滤驱动的主要工作还是撰写分发函数。在 DriverEntry 函数代码中,DriverObject 是参数驱动对象指针,现在来指定几个分发函数。SfPassThrough 负责所有不需要的处理,直接下发到下层驱动的IRP。 for(i=0;i<IRP_MJ_MAXIMUM_FUN...
Windows核安全驱动编程-第十一章文件系统过滤监控-day6
WocW的博客
05-11 543
11.6 读写操作的过滤 11.6.1 设置一个读处理函数 ​ 文件系统有多种操作,但是读写操作仍然是最重要的。比如杀毒软件对文件内容的读写进行监控,可以达到扫描病毒的目的。简单一点就是,文件在被读取时,杀毒软件扫描其中是否含有病毒特征码,就可以防止一些病毒从硬盘被加载到内存中执行;如果任意文件在被写入到磁盘时,也可以检测其中写入的内容是否含有病毒特征码,这样就可以防止病毒被写入硬盘,也就可以防止硬盘上的文件被感染。 ​ 在之前的代码中已经绑定了文件系统卷,而所有的文件都是保存在卷上的,所以处理截获到的主功
linux内核文件过滤,第7章 LINUX文件过滤及内容编辑处理
weixin_42401356的博客
05-01 139
第7章 LINUX文件过滤及内容编辑处理7.1 VI/VIM:纯文本编辑器普通模式、编辑模式、命令模式7.1.1 命令详解7.1.2 使用范例7.1.3 提供vim命令打开文件的方法小结7.2 ECHO:显示输出文本内容7.2.1 命令详解7.2.2 使用范例7.3 CAT:合并文件或查看文件内容7.3.1 命令详解1、查看内容2、多个文件合成一个:cat file1.txt file2.txt ...
开发windows驱动程序,实现监控文件读写操作.zip
12-27
开发windows驱动程序,实现监控文件读写操作.zip C语言难,VC更难,C驱动更是难上加难
windows ddk驱动开发,编写文件监控程序.zip_bsp驱动开发
12-26
windows ddk驱动开发,编写一个文件监控程序.zip 用vc++开发的windows驱动程序,用来实现监视文件操作 在sys的IRP_MJ_CREATE和IRP_MJ_CLOSE中调用exe,给exe传递两个参数:1)进程名,2)文件PATH,传递完后: 传递进程名和文件名给exe
文件过滤驱动用于windows驱动学习
10-19
文件过滤驱动,方便大家参考,内容比较完善,参考此驱动后,对以后写WINDOWS驱动有帮助。第一个驱动就是从这里开始的,源代码比较有参考意义
WindowsNT内核下文件系统过滤驱动程序开发
07-30
WindowsNT内核下文件系统过滤驱动程序开发,非常赞的资源,值得一看
File System Control Codes
05-24
微软的文件系统的通用控制代码. Intellectual Property Rights Notice for Open Specifications Documentation
Windows文件系统过滤驱动开发教程(第二版)和文件监控FileMon源码
03-17
本资源两部分:1、Windows文件系统过滤驱动开发教程(第二版),中文PDF文件。2、文件监控FileMon源码,C++/C代码
读源码笔记--文件过滤驱动FileSpy第4-- 关于IRP_MJ_FILE_SYSTEM_CONTROL
junjie1595的专栏
11-18 2282
前面3篇,已经读完了绑定一个文件系统被挂载时,绑定的操作。这里得说一下总体的框架视角下,需要绑定的东西。   1:变动回调里实现绑定,这个绑定是文件系统被挂载或取消时,需要实现的。 2:变动回调已经掉过了,就是说文件过滤驱动已经加载,并运行。新来某个文件系统的储存设备,也需要绑定。   这里变动回调里面已经绑定了已经存在的卷设备,那么新加上来的存储设备,如何绑定?看下
Filesystem Management
厚积薄发者,轻舟万重山
09-25 416
原文地址:SO2 Lecture 08 - Filesystem Management — The Linux Kernel documentation (linux-kernel-labs.github.io) 目录 Filesystem Abstractions Filesystem Operations Mounting a filesystem Opening a file Querying file attributes Reading data from a file W
.NET 控制Windows文件和目录访问权限研究(FileSystemAccessRule)
weixin_30466421的博客
02-03 358
前一段时间学习了.net控制windows文件和目录权限的相关内容,期间做了一些总结。想把这方面的研究跟大家分享,一起学习。其中不免得有些用词不太标准的地方,希望大家留言指正,我加以修改。 首先,我们利用一个方法作为示例: /// <summary> /// 为指定用户组,授权目录指定完全访问权限 /// </summ...
linux下的文件过滤驱动
04-12
linux文件过滤驱动,编译成模块之后直接加载
深入探究Windows核安全驱动开发技术
标题为“Windows核安全驱动开发(随书光盘)”和描述“不错的代码参考”,表明这是一份围绕Windows操作系统内核安全驱动程序开发的参考资料。具体的参考资料包含在一张光盘中,它提供了Windows核安全的深入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值