sfilter.inf 修改

最新推荐文章于 2019-07-04 11:10:03 发布
最新推荐文章于 2019-07-04 11:10:03 发布
阅读量1.3k 收藏
点赞数
分类专栏: 驱动 文章标签: service system microsoft filter file class
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/trents/article/details/7105877
版权

基于sfilter改的过滤驱动,想把它改个名称。结果就BSOD了。


做了如下修改:

1、把sfilter的地方都修改为processmon.(注意LoadOrderGroup   = "FSFilter  Activity Monitor"  ,这里的FSFilter不是sfilter)。

2、修改了provider和时间等信息。


结果发现直接蓝屏了,挨个试了一下。发现只要把这几个地方改为sfilter就好了

CatalogFile     = Processmon.cat    ----> sfilter.cat


[SourceDisksFiles]
Processmon.sys = 1  -------->sfilter.sys = 1

ServiceBinary    = %12%\Processmon.sys      -----> = %12%\sfilter.sys

[ProcessMon.DriverFiles]
Processmon.sys         -------->sfilter.sys


目前无解,求解。

尝试了修改class名称和GUID,都没影响。


修改的源inf文件如下:

;;;
;;; Sfilter
;;;
;;;
;;; Copyright (c) 2000, Microsoft Corporation
;;;

[Version]
signature      = "$Windows NT$"
Class        = "ActivityMonitor"                ;This is determined by the work this filter driver does
ClassGuid     = {b86dff51-a31e-4bac-b3cf-e8cfe75c9fc2}    ;This value is determined by the Class
Provider     = %pgl%
DriverVer     = 12/27/2011,1.0.0.1
CatalogFile     = Processmon.cat                                   ; A CatalogFile entry is required for a WHQL signature.
                                                                ; The actual catalog file will be provided by WHQL.  The
                                                                ; catalog file for this sample is not provided for use.
[DestinationDirs]
DefaultDestDir             = 12
ProcessMon.DriverFiles      = 12             ;%windir%\system32\drivers

[SourceDisksNames]
1 = %Disk1%

[SourceDisksFiles]
Processmon.sys = 1

;;
;; Default install sections
;;

[DefaultInstall]
OptionDesc          = %ProcessMonServiceDesc%
CopyFiles           = ProcessMon.DriverFiles

[DefaultInstall.Services]
AddService          = %ProcessMonServiceName%,,ProcessMon.Service
AddReg              = ProcessMon.AddRegistry

;;
;; Default uninstall sections
;;

[DefaultUninstall]
DelFiles   = ProcessMon.DriverFiles
DelReg     = ProcessMon.DelRegistry

[DefaultUninstall.Services]
DelService = ProcessMon,0x200        ; Flags note to stop service first

;
; Services Section
;

[ProcessMon.Service]
DisplayName      = %ProcessMonServiceName%
Description      = %ProcessMonServiceDesc%
ServiceBinary    = %12%\Processmon.sys        ;%windir%\system32\drivers\ProcessMon.sys
ServiceType      = 2                    ;SERVICE_FILE_SYSTEM_DRIVER
StartType        = 0                    ;SERVICE_BOOT_START
ErrorControl     = 1                    ;SERVICE_ERROR_NORMAL
LoadOrderGroup   = "FSFilter  Activity Monitor"
AddReg             = ProcessMon.AddRegistry

;
; Registry Modifications
;

[ProcessMon.AddRegistry]
HKLM,%ProcessMonRegistry%,%ProcessMonDebugFlags%,0x00010001 ,0

[ProcessMon.DelRegistry]
HKLM,%ProcessMonRegistry%,%ProcessMonDebugFlags%

;
; Copy Files
;

[ProcessMon.DriverFiles]
Processmon.sys

;;
;; String Section
;;

[Strings]
pgl                = "Pangolin"
ProcessMonServiceDesc  = "ProcessMon Filter Driver"
ProcessMonServiceName  = "ProcessMon"
ProcessMonRegistry     = "system\currentcontrolset\services\ProcessMon"
ProcessMonDebugFlags   = "DebugFlags"
Disk1               = "ProcessMon Source Media"



trents
关注
专栏目录
发掘文件系统过滤驱动的应用
05-15 1291
"FSFilter Activity Monitor"          活动监控"FSFilter Anti-Virus"                杀毒"FSFilter Bottom"                    ??"FSFilter Cluster File System"      集群文件系统"FSFilter Compression"              压缩"
Windows驱动_文件系统微小过滤驱动之二驱动的安装和加载
Z18_28_19的专栏
10-28 1万+
机会总是留给有准备的人,人生只不过有6到7次机会,极少数的人抓住了,大部分的人,让机会从自己的身边溜走。在机会还没有到来的时候,千万不要气馁,也千万不要放弃。首先,认清自己,很多人,其实都没有将自己认识清楚,就去认清别人,认清世界。人跟人都是不一样的,想要的也不一样。所以,请记住,认清自己。在认清自己的前提下,在机会没有到来的时候,往自己的目标去努力,厚积薄发。没有机会,创造机会。不要给自己留下任
文件系统Minifilter驱动(五)
听风
03-02 6068
安装Minifilter驱动XP及更新的Windows OS中,你应该用INF文件和一个安装应用程序来安装你的minifilter驱动. (2K及更早的OS中,minifilter 驱动一般是借助Service Control Manager安装的.)注意"基于INF的安装"仅仅意味着你需要使用一个INF文件来复制文件并存储信息到注册表中.你没有被要求用仅仅一个INF文件来安装你的整个产品
WindowsNT文件系统过滤驱动的原理及应用
07-30
WindowsNT文件系统过滤驱动的原理及应用,资源不错,值得一看
(转载)File System Minifilter Allocated Altitudes & Load Order Groups and Altitude Ranges
无限天空
11-01 2336
Updated: August 12, 2004Load Order GroupAltitude RangeAltitudeCompanyMinifilterDescription (Optional)Date AllocatedFilter420000-429999     
寒江独钓-Windows内核安全编程(高清完整版).part6
01-04
9.4.1 安装MinifilterINF文件 293 9.4.2 启动安装完成的Minifilter 294 本章的示例代码 295 练习题 295 第10章 网络传输层过滤 296 10.1 TDI概要 297 10.1.1 为何选择TDI 297 10.1.2 从socket到Windows内核 297 ...
寒江独钓-Windows内核安全编程(高清完整版).part3
01-04
9.4.1 安装MinifilterINF文件 293 9.4.2 启动安装完成的Minifilter 294 本章的示例代码 295 练习题 295 第10章 网络传输层过滤 296 10.1 TDI概要 297 10.1.1 为何选择TDI 297 10.1.2 从socket到Windows内核 297 ...
寒江独钓-Windows内核安全编程(高清完整版).part4
01-04
9.4.1 安装MinifilterINF文件 293 9.4.2 启动安装完成的Minifilter 294 本章的示例代码 295 练习题 295 第10章 网络传输层过滤 296 10.1 TDI概要 297 10.1.1 为何选择TDI 297 10.1.2 从socket到Windows内核 297 ...
寒江独钓-Windows内核安全编程(高清完整版).part7
01-04
9.4.1 安装MinifilterINF文件 293 9.4.2 启动安装完成的Minifilter 294 本章的示例代码 295 练习题 295 第10章 网络传输层过滤 296 10.1 TDI概要 297 10.1.1 为何选择TDI 297 10.1.2 从socket到Windows内核 297 ...
寒江独钓-Windows内核安全编程(高清完整版).part1
01-04
9.4.1 安装MinifilterINF文件 293 9.4.2 启动安装完成的Minifilter 294 本章的示例代码 295 练习题 295 第10章 网络传输层过滤 296 10.1 TDI概要 297 10.1.1 为何选择TDI 297 10.1.2 从socket到Windows内核 297 ...
卸载 UniAccessAgent 软件
coco3600的博客
07-04 1万+
卸载 UniAccessAgent 软件 我是用电脑管家的文件粉碎功能直接进行粉碎的,安装目录为(C:\Windows\LVUAAgentInstBaseRoot),在资源管理器中看不到,但是真真实实是存在的。 ...
整理一份我对Windows文件系统过滤驱动的sFilter工程代码的详细说明(精华侨)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-09 5940
标 题: 【分享】整理一份我对Windows文件系统过滤驱动的sFilter工程代码的详细说明 作 者: tianhz 时 间: 2012-06-19,18:32:07 链 接: http://bbs.pediy.com/showthread.php?t=152338 我平时很忙,很少发表主题。我在工作的时候,我身边的很多同事都不停地问我有关Windows文件系统过滤驱动的问题。他们中
Windows驱动程序的安装(一)
天道酬勤!
09-04 4343
Windows的驱动程序安装,也就是将已经编译好的**.sys文件“嵌入”到Windows操作系统的内核层。以下介绍几种我所知道的常见方法。 注意:以下几种方法中,除inf安装外,适合一般的NT驱动,并不能安装Minifilter(微过滤驱动)。对于Minifilter的安装,我们将在以后的文章中谈到。 一、借助相关工具        网上有很多牛人写的工具,对**.sys文件的安装很管
SpringBoot下,利用@WebFilter配置使用与注意Filter
热门推荐
With_Her的博客
09-11 5万+
Filter简介 Filter也称之为过滤器,它是Servlet技术中最实用的技术,WEB开发人员通过Filter技术,对web服务器管理的所有web资源:例如JSP,Servlet,静态图片文件或静态HTML文件进行拦截,从而实现一些特殊功能。例如实现URL级别的权限控制、过滤敏感词汇、压缩响应信息等一些高级功能。 Filter工作原理 当客户端发出Web资源的请求时,Web服务器根据应用...
面向Windows的文件透明加解密解决方案(3)——透明加解密驱动程序二
某熊的技术之路
05-31 1万+
3.3关键技术详解 对于用户的文件操作请求,Windows 用户层中对文件的各种操作映射到微过滤驱动中就转化为类型为Create,Read,Write 和Close 等的I/O 操作,因此只要对这些操作的内容进行过滤处理,即可达到透明加解密的目的。首先在IRP_MJ_CREATE 中查询目标文件是否是监控文件类型,创建一个StreamContext 并附着在文件对象上,并在StreamConte
sfilter
sunhf_my的专栏
05-24 2197
整理自:http://topic.csdn.net/t/20060629/11/4849948.html 好资料如下:     书:Windows   NT   File   System   Internals,IFS   DDK文档。     零碎资料:驱动开发网,OSR(它的新闻组很赞),sysintels.com,以及DDK的源代码。         最后
文件系统过滤驱动-Sfilter流程解析
05-09 1673
1> IFS 流程图 a.生成一个控制设备.当然此前你必须给控制设置指定名称. b.设置Dispatch Functions. c.设置Fast Io Functions. d.编写一个my_fs_notify回调函数,在其中绑定刚激活的FS CDO. e.使用wdff_reg_notify调用注册这个回调函数。 f.编写默认的dispatch functions. g.处理
Module load completed but symbols could not be loaded
wxqian25的专栏
05-29 2万+
1、 http://forum.sysinternals.com/windbg-symbols-could-not-be-loaded_topic13838.html ask: I am debugging a driver in the primitive state using windbg with 2systems. Initially, Ihad some problems ge
Windows内核详解:设备栈结构与Sfilter实战
本文档主要探讨Windows内核中的设备栈及其工作原理,特别关注了设备对象(Device Object, DO)和安全过滤器(Sfilter)在驱动程序交互中的关键角色。首先,文章介绍了`IoAttachDeviceToDeviceStackSafe`函数,这是一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值