文件过滤驱动Sfilter学习笔记

最新推荐文章于 2023-07-04 18:12:50 发布
最新推荐文章于 2023-07-04 18:12:50 发布
阅读量1.2k 收藏
点赞数
分类专栏: 底层

转载自:http://mzf2008.blog.163.com/blog/static/3559978620114156433999/


1.DriverEntry例程
(1)创建过滤驱动的控制设备, 以后我们的IO控制码就是发到这个设备上面

//这里的设备名与普通设备有所不同.
//当然, 最简单的可以直接写成 L"\\Device\\Filemontor";(FileMon中是这么写的, 调试过可行)
RtlInitUnicodeString( &nameString, L"\\FileSystem\\Filters\\FileMonitor" );
status = IoCreateDevice( DriverObject,
       0,                     //has no device extension  
            //这是与其他Attach到别的设备上的设备的不同之处 
       &nameString,
       FILE_DEVICE_DISK_FILE_SYSTEM,
       FILE_DEVICE_SECURE_OPEN,
       FALSE,
       &gSFilterControlDeviceObject );

if (status == STATUS_OBJECT_PATH_NOT_FOUND) {

 RtlInitUnicodeString( &nameString, L"\\FileSystem\\FileMonitor" );
 status = IoCreateDevice( DriverObject,
        0,                      
        &nameString,
        FILE_DEVICE_DISK_FILE_SYSTEM,
        FILE_DEVICE_SECURE_OPEN,
        FALSE,
        &gSFilterControlDeviceObject );
}

//创建符号链接
RtlInitUnicodeString(&syblnkString, L"\\DosDevices\\FileMonitor");
status = IoCreateSymbolicLink( &syblnkString, &nameString );

if (!NT_SUCCESS(status)) {

 IoDeleteSymbolicLink( &syblnkString );
 status = IoCreateSymbolicLink( &syblnkString, &nameString );
 
 if (!NT_SUCCESS(status)) {

  KdPrint(("创建符号链接失败~\n"));
  IoDeleteDevice(gSFilterControlDeviceObject);
  return status;
 }
}

(2)设置例程
for (i = 0; i <= IRP_MJ_MAXIMUM_FUNCTION; i++) {

 DriverObject->MajorFunction[i] = SfDispatch;
}
DriverObject->MajorFunction[IRP_MJ_CREATE] = SfCreate;

DriverObject->MajorFunction[IRP_MJ_FILE_SYSTEM_CONTROL] = SfFsControl;
DriverObject->MajorFunction[IRP_MJ_CLOSE] = SfCleanupClose;

(3)调用IoRegisterFsRegistrationChange函数来通知我们文件系统的加载和卷的mount.


2.SfCreate 例程
(1)sfilter的原版中是这么写的
if (IS_MY_CONTROL_DEVICE_OBJECT(DeviceObject)) {

 Irp->IoStatus.Status = STATUS_INVALID_DEVICE_REQUEST;
 Irp->IoStatus.Information = 0;
 IoCompleteRequest( Irp, IO_NO_INCREMENT );
 return STATUS_INVALID_DEVICE_REQUEST;
}

这样写的后果是我们用CreateFile函数在R3下打开此控制设备符号链接的时候失败
我刚开始学习文件过滤驱动的时候对此不是很了解, CreateFile老是失败, 
起初还以为是符号链接名写错了, 后来参看了FileMon的代码才反应过来

于是修改如下:
if (IS_MY_CONTROL_DEVICE_OBJECT(DeviceObject)) {
  
 Irp->IoStatus.Status = STATUS_SUCCESS;
 Irp->IoStatus.Information = FILE_OPENED;
 IoCompleteRequest( Irp, IO_NO_INCREMENT );
 return STATUS_SUCCESS;
}

(2)根据不同软件的需要, 编写此函数的接下来部分
[1]比如我们要阻止病毒在Windows目录下创建文件, 那么我们就要在此文件还没创建的时候得到此文件的全路径.
要在这个时候得到文件的路径, 楚狂人也说了有点麻烦. 下面提供一个函数给大家, 用于在文件创建前得到路径.
BOOLEAN MzfGetFileFullPathPreCreate(PFILE_OBJECT pFile, PUNICODE_STRING path )
{
  NTSTATUS status;
  POBJECT_NAME_INFORMATION pObjName = NULL;
  WCHAR buf[256] = {0};
  void *obj_ptr = NULL;
  ULONG ulRet = 0;
  BOOLEAN bSplit = FALSE;

  if (pFile == NULL) return FALSE;
  if (pFile->FileName.Buffer == NULL) return FALSE;

  pObjName = (POBJECT_NAME_INFORMATION)buf;

  if (pFile->RelatedFileObject != NULL)
   obj_ptr = (void *)pFile->RelatedFileObject;
  else
   obj_ptr = (void *)pFile->DeviceObject;

  status = ObQueryNameString(obj_ptr, pObjName, 256*sizeof(WCHAR), &ulRet);
  if (status == STATUS_INFO_LENGTH_MISMATCH)
  {
    pObjName = (POBJECT_NAME_INFORMATION)ExAllocatePool(NonPagedPool, ulRet);

    if (pObjName == NULL)  return FALSE;

    RtlZeroMemory(pObjName, ulRet);

    status = ObQueryNameString(obj_ptr, pObjName, ulRet, &ulRet);
    if (!NT_SUCCESS(status)) return FALSE;
  }

 //拼接的时候, 判断是否需要加 '\\'
 if (pFile->FileName.Length > 2 && 
  pFile->FileName.Buffer[0] != L'\\' &&
  pObjName->Name.Buffer[pObjName->Name.Length/sizeof(WCHAR) -1] != L'\\')
  bSplit = TRUE;
 
 ulRet = pObjName->Name.Length + pFile->FileName.Length;

 if (path->MaximumLength < ulRet)  return FALSE;

 RtlCopyUnicodeString(path, &pObjName->Name);
 if (bSplit)
  RtlAppendUnicodeToString(path, L"\\");

 RtlAppendUnicodeStringToString(path, &pFile->FileName);

 if ((void*)pObjName != (void*)buf)
  ExFreePool(pObjName);

 return TRUE;
}

至此, 得到了文件的路径以后, 我们就可以做出判断了, 如果要阻止文件创建, 
那么直接用IoCompleteRequest函数结束此IRP即可, 否则下发
IoSkipCurrentIrpStackLocation( Irp );
return IoCallDriver( ((PSFILTER_DEVICE_EXTENSION) DeviceObject->DeviceExtension)->AttachedToDeviceObject, Irp );

[2]要是像FileMon那样只是记录系统中创建了哪些文件的话, 我们可以设置此函数的完成例程.
然后等文件创建完成了之后, 只要调用 IoQueryFileDosDeviceName 函数即可知道文件的全路径了.

设置完成例程如下:
{
 KEVENT waitEvent;
 KeInitializeEvent( &waitEvent, NotificationEvent, FALSE );

 IoCopyCurrentIrpStackLocationToNext( Irp );
 IoSetCompletionRoutine(Irp, SfCreateCompletion, &waitEvent, TRUE, TRUE, TRUE );
 status = IoCallDriver( ((PSFILTER_DEVICE_EXTENSION) DeviceObject->DeviceExtension)->AttachedToDeviceObject, Irp );

 if (STATUS_PENDING == status) {

  NTSTATUS localStatus = KeWaitForSingleObject(&waitEvent, Executive, KernelMode, FALSE, NULL);
  ASSERT(STATUS_SUCCESS == localStatus);
 }
 //此处文件已经创建完成了, 我们可以调用IoQueryFileDosDeviceName函数得到文件的全路径

 //最后结束此IRP
 status = Irp->IoStatus.Status;
 IoCompleteRequest( Irp, IO_NO_INCREMENT );
 return status;
}

3.SfDispatch例程
在此例程中要判断是不是我们的控制设备, 如果使我们的控制设备, 则要处理相应的IO控制码.
否则, 下发此IRP
NTSTATUS SfDispatch ( IN PDEVICE_OBJECT DeviceObject,  IN PIRP Irp )
{
 NTSTATUS status = STATUS_SUCCESS;
    PIO_STACK_LOCATION irpStack;
    
    if (IS_MY_CONTROL_DEVICE_OBJECT(DeviceObject)) {

        Irp->IoStatus.Information = 0;
        irpStack = IoGetCurrentIrpStackLocation( Irp );
  
        switch (irpStack->MajorFunction) {
   
  case IRP_MJ_DEVICE_CONTROL:
   // 此函数用来执行相应的控制码
   status = SpyCommonDeviceIoControl( Irp->AssociatedIrp.SystemBuffer,
                                                   irpStack->Parameters.DeviceIoControl.InputBufferLength,
                                                   Irp->AssociatedIrp.SystemBuffer,
                                                   irpStack->Parameters.DeviceIoControl.OutputBufferLength,
                                                   irpStack->Parameters.DeviceIoControl.IoControlCode,
                                                   &Irp->IoStatus );
   break;
   
  case IRP_MJ_CLEANUP
   status = STATUS_SUCCESS;
   break;
   
  default:
   status = STATUS_INVALID_DEVICE_REQUEST;
        }
  
        Irp->IoStatus.Status = status;
        IoCompleteRequest( Irp, IO_NO_INCREMENT );
        return status;
    }
 
 //不是我们的控制设备则下发此IRP
    return SfPassThrough( DeviceObject, Irp );
}


IO控制码也可以在FASTIO例程的SfFastIoDeviceControl函数中处理,如下:
当然, 最简单的还是在FASTIO例程中返回FALSE. 这样, 系统便会调用我们上面的SfDispatch函数.
if (IS_MY_CONTROL_DEVICE_OBJECT(DeviceObject)) {
  
        SpyCommonDeviceIoControl( InputBuffer,
   InputBufferLength,
   OutputBuffer,
   OutputBufferLength,
   IoControlCode,
   IoStatus );
  
        return TRUE;
}

whitesilt
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
文件驱动小例子SFilter
11-29
这个文档对刚刚接触文件过滤驱动开发的新手很有帮助,但愿能帮到您,
sfilter开源驱动分析(一)--文件过滤的基本步骤
jimk1983的专栏
10-24 2256
NT的I/O管理器支持分层的驱动程序模式。         当应用层的CreateFile() (R3层)  --> || NtCreateFile() [I/O管理器在这一层,ntdll.dll]  -->|| 内核驱动层(R0层) ,这里讨论的主要是针对最后的内核驱动层的处理。          当每个IRP被处理的时候,它会经过驱动层中的各个驱动程序,直到最终被某个驱动程序调用IoCo
获取硬盘型号、序列号等信息的正确姿势
最新发布
AcceZn的博客
07-04 3065
一般地,如果略去复杂的过滤驱动,读写文件时控制流会依次经过文件系统驱动(ntfs.sys或fastfat.sys等)、卷管理驱动(volmgr.sys)、分区管理驱动(partmgr.sys)、磁盘类驱动(disk.sys和classpnp.sys)、存储设备端口驱动(storport.sys、scsiport.sys和ataport.sys三者之一)和小端口驱动(storachi.sys、stornvme.sys或usbstor.sys等)等。
Windows驱动开发第9课(驱动设备与符号链接)
weixin_42655748的博客
11-27 1739
Windows文件系统的过滤驱动程序设计
峥嵘岁月
02-04 7542
Windows文件系统的过滤驱动程序设计西安电子科技大学 李新摘要:某些应用程序对文件系统的性能有较高要求。例如媒体播放器需要满足最小数据传输率才能保证视觉上的流畅。由于Windows文件系统本身没有提供这样的保证,需要编写过滤驱动程序添加这项功能。本文首先介绍系统驱动体系和文件系统工作机制,然后分析文件系统过滤驱动程序的功能特点,最后介绍一种满足此类应用程序传输带宽的总体解决方案(
通过PID获取进程全路径
kernweak的博客
05-30 1271
/* NTKERNELAPI NTSTATUS PsLookupProcessByProcessId( IN HANDLE ProcessId, OUT PEPROCESS *Process ); NTSTATUS IoQueryFileDosDeviceName( IN PFILE_OBJECT FileObject, OUT POBJECT_NAME_INF...
Windows_file_system_filter_driver.rar_filter driver_文件过滤驱动
09-14
大约两年以前我在驱动开发网上...为此我把文章中的代码换成微软标准的文件过滤驱动范例sfilter的代码。赠于喜欢此书的读者和驱动开发的后来者们。 网友们帮我整理的原版已经非常流行。为了区别起见,称为第二版。 ,
WDK驱动自带原汁原味的sfilter源代码
12-24
看《Windows内核编程》,说是基于sfilter源代码修改的,也没说在哪个版本的驱动中,于是试了很多驱动,终于找到了,在WinDDK 6001.18001中,我把它压缩后上传。有需要的尽情下载吧。
Windows 文件系统过滤驱动开发教程
09-27
楚狂生的教程,Windows 文件系统过滤驱动开发教程,讲得很经典
基于文件过滤驱动文件创建监控程序 - MzfFileMonitor
05-14
最近几天看了楚狂人的文件过滤驱动的相关教程, 学习了下文件过滤驱动的编写, 不禁感叹楚狂人在文件过滤驱动方面的造诣. 学习之余写了这个小工具MzfFileMonitor. 代码是由sfilter扩展而来. 包括 R3 和 R0 代码. Ps:...
驱动文件过滤加密源代码
03-22
根据sfilter修改的,驱动层,C语言 经本人测试
文件过滤接口程序员指南
10-19
新的架构中一个关键的组件其实是一个旧过滤模型的文件系统过滤驱动,被称为“过滤管理器(Filter Manger)”.在未来,微软发行的操作系统将默认安装这个驱动。(译者注:现在,你得手工安装。)这个驱动通过提供一些...
sfilter
07-19
sfilter文件过滤驱动源码
文件驱动的透明加密
04-11
文件系统的透明加密,根据sfilter修改的,文件驱动层,C语言实现。和大家共勉
驱动高手tooflat写的基于sfilter过滤驱动程序
10-24
驱动高手tooflat写的基于sfilter过滤驱动程序
如何获取进程/目标对象的全路径?
zhuhuibeishadiao
04-10 1901
PID->eprocess->KeStackAttachProcess->ZwQueryInformationProcess->ProcessImageFileName->ZwCreateFile ->ObReferenceObjectByHandle->RtlVolumeDeviceToDosName ->ZwQueryInformationFile 如何获取目标对象的全路径?
SFilter框架理解
zhuhuibeishadiao
04-18 8005
控制设备(接受我们自己的客服端)----过滤设备(接受别的进程的IRP) IRP栈每层对应的设备不同   绑定后返回的:最顶层的设备 看图 为什么返回最顶层,当我们的设备处理好后要发给下面的 而下面的第一个就是最顶层的设备 看图理解 过滤 分层驱动中再加一层而不影响它的上下层,以过滤它们之间的数据,对数据或行为进行安全控制。过滤是通过设备绑定实现的。 图:
通过暴力搜索PID遍历进程并获取进程信息
墨鱼菜鸡
06-23 257
背景 通常我们在内核中使用 ZwQuerySystemInformation 函数来遍历进程模块并获取进程信息,这种是通过正常的进程遍历方式,所以,有很多 Rootkit 程序会 HOOK 这个 ZwQuerySyste...
驱动学习4
weixin_30342209的博客
01-01 122
1.驱动对象. typedef struct _DRIVER_OBJECT { CSHORT Type; CSHORT Size; // // The following links all of the devices created by a single driver // together on a list, and the Flags...
recreateFilter: false, drag: true, sField:'searchField', sValue:'searchString', sOper: 'searchOper', sFilter: 'filters', loadDefaults: true, // this options activates loading of default filters from grid's postData for Multipe Search only. beforeShowSearch: null, afterShowSearch : null, onInitializeSearch: null, afterRedraw : null, afterChange: null, sortStrategy: null, closeAfterSearch : false, closeAfterReset: false, closeOnEscape : false, searchOnEnter : false, multipleSearch : false, multipleGroup : false, //cloneSearchRowOnAdd: true, top : 0, left: 0, jqModal : true, modal: false, resize : true, width: 450, height: 'auto', dataheight: 'auto', showQuery: false, errorcheck : true, sopt: null, stringResult: undefined, onClose : null, onSearch : null, onReset : null, toTop : true, overlay : 30, columns : [], tmplNames : null, tmplFilters : null, tmplLabel : ' Template: ', showOnLoad: false, layer: null, 参数说明
06-08
这是一个 JQGrid 插件中的搜索框(search dialog)的配置参数说明,具体含义如下: - recreateFilter: 是否重新创建过滤器。 - drag: 是否允许拖拽。 - sField: 搜索字段名称。 - sValue: 搜索值名称。 - sOper: 搜索操作符名称。 - sFilter: 过滤器名称。 - loadDefaults: 是否从 grid 的 postData 中加载默认过滤器(仅适用于多重搜索)。 - beforeShowSearch: 在搜索框显示之前触发的事件。 - afterShowSearch: 在搜索框显示之后触发的事件。 - onInitializeSearch: 初始化搜索框时触发的事件。 - afterRedraw: 重新绘制搜索框时触发的事件。 - afterChange: 当搜索条件发生变化时触发的事件。 - sortStrategy: 排序策略。 - closeAfterSearch: 是否在搜索后关闭搜索框。 - closeAfterReset: 是否在重置搜索条件后关闭搜索框。 - closeOnEscape: 是否允许使用 ESC 键关闭搜索框。 - searchOnEnter: 是否在按下回车键时进行搜索。 - multipleSearch: 是否允许多重搜索。 - multipleGroup: 是否允许多重分组。 - top: 搜索框距离顶部的距离。 - left: 搜索框距离左侧的距离。 - jqModal: 是否使用 jqModal。 - modal: 是否使用 modal。 - resize: 是否允许调整大小。 - width: 搜索框的宽度。 - height: 搜索框的高度。 - dataheight: 数据区域的高度。 - showQuery: 是否显示搜索查询条件。 - errorcheck: 是否进行错误检查。 - sopt: 搜索操作符选项。 - stringResult: 是否返回字符串结果。 - onClose: 在搜索框关闭时触发的事件。 - onSearch: 在搜索时触发的事件。 - onReset: 在重置搜索条件时触发的事件。 - toTop: 是否将搜索框置于顶部。 - overlay: 重叠度。 - columns: 搜索框中的列。 - tmplNames: 模板名称。 - tmplFilters: 模板过滤器。 - tmplLabel: 模板标签。 - showOnLoad: 是否在加载时显示搜索框。 - layer: 层级。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值