读源码笔记--文件过滤驱动FileSpy第1篇 -- DriverEntry

最新推荐文章于 2020-05-28 09:54:43 发布
最新推荐文章于 2020-05-28 09:54:43 发布
阅读量481 收藏
点赞数
原文链接:https://blog.csdn.net/junjie1595/article/details/16811751
版权

今天只读FileSpy的DriverEntry,位于源文件:filespy.c。

//
// 全局变量.
//

ULONG gFileSpyDebugLevel = DEFAULT_FILESPY_DEBUG_LEVEL;
#if WINVER >= 0x0501
ULONG gFileSpyAttachMode = FILESPY_ATTACH_ALL_VOLUMES;
#else
ULONG gFileSpyAttachMode = FILESPY_ATTACH_ON_DEMAND;
#endif

 

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegPath)

{

    UNICODE_STRING nameString;
    NTSTATUS status;
    PFAST_IO_DISPATCH fastIoDispatch;
    ULONG i;
    UNICODE_STRING linkString;

 

#if WINVER >= 0x0501

//第一步,获取动态函数。

 

//目的只有一个,兼容Windows的之前的版本。原因是:有些Windows后面版本出现的函数,在出现之前的Windows操作系统中是没有。

//如果直接使用该函数,在该函数出现之前的Windows操作系统中,将直接导致驱动加载失败。

 

//这里面包括如下动态加载的函数:

// 1.FsRtlRegisterFileSystemFilterCallbacks:注册一些通知回调函数,当下层文件驱动执行某些操作的时候调用。2K SP4和XP以后可用。

// 2.IoAttachDeviceToDeviceStackSafe:绑定目标设备对象。2K SP4和XP以后可用。

// 3.IoEnumerateDeviceObjectList:枚举驱动的设备对象链。2K SP4和XP以后可用。

// 4.IoGetLowerDeviceObject:获取当前驱动的下一层的设备对象。2K SP4和XP以后可用。

// 5.IoGetDeviceAttachmentBaseRef:获取文件系统驱动或设备驱动栈底的设备对象。2K SP4和XP以后可用。

// 6.IoGetDiskDeviceObject:获取与给定文件系统卷设备相关的磁盘设备对象。2K SP4和XP以后可用。

// 7.IoGetAttachedDeviceReference:获取驱动栈顶的设备对象,并将该设备对象的引用计数增1。2K 和XP以后可用。

// 8.RtlGetVersion:获取操作系统版本。

SpyLoadDynamicFunctions();

 

// 获取操作系统版本,调用的是RtlGetVersion或PsGetVersion。

SpyGetCurrentVersion();

#endif

 

// 从注册表中获取FileSpy指定的参数。

// 根据RegistryPath在注册表中的路径,

// 1.查询“MaxRecords”

//                数据结构体为:KEY_VALUE_PARTIAL_INFORMATION,其下的Data成员的内容放于全局变量:gMaxRecordsToAllocate中

// 2.查询“MaxNames”

//                 数据结构体为:KEY_VALUE_PARTIAL_INFORMATION,其下的Data成员的内容放于全局变量:gMaxNamesToAllocate中

// 3.查询“DebugFlags”

//                 数据结构体为:KEY_VALUE_PARTIAL_INFORMATION,其下的Data成员的内容放于全局变量:gFileSpyDebugLevel中

// 4.查询“AttachMode”

//                 数据结构体为:KEY_VALUE_PARTIAL_INFORMATION,其下的Data成员的内容放于全局变量:gFileSpyAttachMode中

SpyReadDriverParameters( RegistryPath );

 

// #ifndef FlagOn
// #define FlagOn(_F,_SF)        ((_F) & (_SF))
// #endif

if (FlagOn(gFileSpyDebugLevel,   SPYDEBUG_BREAK_ON_DRIVER_ENTRY)) {

        DbgBreakPoint();
    }

 

//

// 将DriverEntry的参数:DriverObject,保存到全局变量:gFileSpyDriverObject

//

gFileSpyDriverObject = DriverObject;

 

//

// 初始化一个Lookaside的内存池。

//

ExInitializePagedLookasideList( &gFileSpyNameBufferLookasideList,
                                    NULL,
                                    NULL,
                                    0,
                                    FILESPY_LOOKASIDE_SIZE,
                                    FILESPY_NAME_BUFFER_TAG,
                                    0 );

 

 

#if DBG && WINVER >= 0x0501

//

// 判断操作系统版本,设置卸载例程。

//

    if (IS_WINDOWSXP_OR_LATER()) {

        ASSERT( NULL != gSpyDynamicFunctions.EnumerateDeviceObjectList );

        gFileSpyDriverObject->DriverUnload = DriverUnload;
    }
#endif

//

// 初始化名称,并调用IoCreateDevice创建设备。

// 这里的#define                  FILESPY_FULLDEVICE_NAME1                L"\\FileSystem\\Filters\\FileSpy"

// 因为是CDO,所以不需要设备拓展。

//

RtlInitUnicodeString( &nameString, FILESPY_FULLDEVICE_NAME1 );

status = IoCreateDevice( DriverObject,
                             0,                 //  has no device extension
                             &nameString,
                             FILE_DEVICE_DISK_FILE_SYSTEM,
                             FILE_DEVICE_SECURE_OPEN,
                             FALSE,
                             &gControlDeviceObject);

    if (STATUS_OBJECT_PATH_NOT_FOUND == status) {

        //

        // 如果第一次创建失败,错误代码为:STATUS_OBJECT_PATH_NOT_FOUND,说明不存在这个路径。再次创建,路径为:

        // #define           FILESPY_FULLDEVICE_NAME2        L"\\FileSystem\\FileSpyCDO"

        // 因为这是一个我们自己使用的CDO,所以不需要设备拓展。该设备,主要用来与我们自己的应用层通信使用 和

        // 修改整个驱动的内部配置的。

        //

        RtlInitUnicodeString( &nameString, FILESPY_FULLDEVICE_NAME2 );

        status = IoCreateDevice( DriverObject,
                                 0,             //  has no device extension
                                 &nameString,
                                 FILE_DEVICE_DISK_FILE_SYSTEM,
                                 FILE_DEVICE_SECURE_OPEN,
                                 FALSE,
                                 &gControlDeviceObject);

        if (!NT_SUCCESS( status )) {

            SPY_LOG_PRINT( SPYDEBUG_ERROR,
                           ("FileSpy!DriverEntry: Error creating FileSpy control device \"%wZ\", error: %x\n",
                           &nameString,
                           status) );

            return status;
        }

    } else if (!NT_SUCCESS( status )) {

        //

       // 调用失败,直接返回。

       //

        SPY_LOG_PRINT( SPYDEBUG_ERROR,
                       ("FileSpy!DriverEntry: Error creating FileSpy control device \"%wZ\", error: %x\n",
                       &nameString,
                       status) );

        return status;

    }

//

// 创建符号链接,如果失败,删除符号链接,再创建一次,如果再次失败,删除设备,返回。

//

RtlInitUnicodeString( &linkString, FILESPY_DOSDEVICE_NAME );
    status = IoCreateSymbolicLink( &linkString, &nameString );

    if (!NT_SUCCESS(status)) {

        //
        //  Remove the existing symbol link and try and create it again.
        //  If this fails then quit.
        //

        IoDeleteSymbolicLink( &linkString );
        status = IoCreateSymbolicLink( &linkString, &nameString );

        if (!NT_SUCCESS(status)) {

            SPY_LOG_PRINT( SPYDEBUG_ERROR,
                       ("FileSpy!DriverEntry: IoCreateSymbolicLink failed\n") );

            IoDeleteDevice(gControlDeviceObject);
            return status;
        }
    }

//

// 初始化派遣例程,这里只设置IRP_MJ_CREATE、IRP_MJ_CLOSE、IRP_MJ_FILE_SYSTEM_CONTROL。

// IRP_MJ_FILE_SYSTEM_CONTROL,是文件系统控制设备对象(CDO),在一个新的存储介质被系统发现并在文件系统中生成一个卷的

// 这个过程开始时,收到的一个IRP,这个时候的次功能号为IRP_MN_MOUNT。只要过滤驱动生成了一个设备,并且绑定了文件系统的控制

// 设备对象(CDO),过滤驱动就一定能得到这样一个IRP。

//

for (i = 0; i <= IRP_MJ_MAXIMUM_FUNCTION; i++) {

        DriverObject->MajorFunction[i] = SpyDispatch;
    }

    DriverObject->MajorFunction[IRP_MJ_CREATE] = SpyCreate;
    DriverObject->MajorFunction[IRP_MJ_CLOSE] = SpyClose;
    DriverObject->MajorFunction[IRP_MJ_FILE_SYSTEM_CONTROL] = SpyFsControl;

//

// 设置FAST I/O的派遣例程。每个驱动对象都有FAST I/O派遣例程,只是多数设备驱动是不调用这写快速I/O分发函数的。但是文件系统必须

// 要设置,如果不设置上层依然会调用FAST I/O这些例程,而且会导致蓝屏。它是独立于普通IRP的另外的接口。

// 最简单的FAST I/O分发函数的写法是:直接返回FALSE就可以了。

//

// FLAST I/O 的例程空间需要自己开辟。该空间的释放,在DriverUnload里面。

//

fastIoDispatch = ExAllocatePoolWithTag( NonPagedPool,
                                            sizeof( FAST_IO_DISPATCH ),
                                            FILESPY_POOL_TAG );

    if (!fastIoDispatch) {

        IoDeleteDevice( gControlDeviceObject );
        return STATUS_INSUFFICIENT_RESOURCES;
    }

    RtlZeroMemory( fastIoDispatch, sizeof( FAST_IO_DISPATCH ) );
    fastIoDispatch->SizeOfFastIoDispatch = sizeof( FAST_IO_DISPATCH );
    fastIoDispatch->FastIoCheckIfPossible = SpyFastIoCheckIfPossible;
    fastIoDispatch->FastIoRead = SpyFastIoRead;
    fastIoDispatch->FastIoWrite = SpyFastIoWrite;
    fastIoDispatch->FastIoQueryBasicInfo = SpyFastIoQueryBasicInfo;
    fastIoDispatch->FastIoQueryStandardInfo = SpyFastIoQueryStandardInfo;
    fastIoDispatch->FastIoLock = SpyFastIoLock;
    fastIoDispatch->FastIoUnlockSingle = SpyFastIoUnlockSingle;
    fastIoDispatch->FastIoUnlockAll = SpyFastIoUnlockAll;
    fastIoDispatch->FastIoUnlockAllByKey = SpyFastIoUnlockAllByKey;
    fastIoDispatch->FastIoDeviceControl = SpyFastIoDeviceControl;
    fastIoDispatch->FastIoDetachDevice = SpyFastIoDetachDevice;
    fastIoDispatch->FastIoQueryNetworkOpenInfo = SpyFastIoQueryNetworkOpenInfo;
    fastIoDispatch->MdlRead = SpyFastIoMdlRead;
    fastIoDispatch->MdlReadComplete = SpyFastIoMdlReadComplete;
    fastIoDispatch->PrepareMdlWrite = SpyFastIoPrepareMdlWrite;
    fastIoDispatch->MdlWriteComplete = SpyFastIoMdlWriteComplete;
    fastIoDispatch->FastIoReadCompressed = SpyFastIoReadCompressed;
    fastIoDispatch->FastIoWriteCompressed = SpyFastIoWriteCompressed;
    fastIoDispatch->MdlReadCompleteCompressed = SpyFastIoMdlReadCompleteCompressed;
    fastIoDispatch->MdlWriteCompleteCompressed = SpyFastIoMdlWriteCompleteCompressed;
    fastIoDispatch->FastIoQueryOpen = SpyFastIoQueryOpen;

    DriverObject->FastIoDispatch = fastIoDispatch;

//

// 设置通知回调。FsRtlRegisterFileSystemFilterCallbacks函数注册需通知回调函数,这些回调函数将在文件系统的相关操作之前被调用

//

#if WINVER >= 0x0501

    {
        FS_FILTER_CALLBACKS fsFilterCallbacks;

        if (IS_WINDOWSXP_OR_LATER()) {

            ASSERT( NULL != gSpyDynamicFunctions.RegisterFileSystemFilterCallbacks );

            //
            //  This version of the OS exports
            //  FsRtlRegisterFileSystemFilterCallbacks, therefore it must
            //  support the FsFilter callbacks interface.  We will register to
            //  receive callbacks for these operations.
            //

            //
            //  Setup the callbacks for the operations we receive through
            //  the FsFilter interface.
            //

            fsFilterCallbacks.SizeOfFsFilterCallbacks = sizeof( FS_FILTER_CALLBACKS );
            fsFilterCallbacks.PreAcquireForSectionSynchronization = SpyPreFsFilterOperation;
            fsFilterCallbacks.PostAcquireForSectionSynchronization = SpyPostFsFilterOperation;
            fsFilterCallbacks.PreReleaseForSectionSynchronization = SpyPreFsFilterOperation;
            fsFilterCallbacks.PostReleaseForSectionSynchronization = SpyPostFsFilterOperation;
            fsFilterCallbacks.PreAcquireForCcFlush = SpyPreFsFilterOperation;
            fsFilterCallbacks.PostAcquireForCcFlush = SpyPostFsFilterOperation;
            fsFilterCallbacks.PreReleaseForCcFlush = SpyPreFsFilterOperation;
            fsFilterCallbacks.PostReleaseForCcFlush = SpyPostFsFilterOperation;
            fsFilterCallbacks.PreAcquireForModifiedPageWriter = SpyPreFsFilterOperation;
            fsFilterCallbacks.PostAcquireForModifiedPageWriter = SpyPostFsFilterOperation;
            fsFilterCallbacks.PreReleaseForModifiedPageWriter = SpyPreFsFilterOperation;
            fsFilterCallbacks.PostReleaseForModifiedPageWriter = SpyPostFsFilterOperation;

            status = (gSpyDynamicFunctions.RegisterFileSystemFilterCallbacks)( DriverObject,
                                                                              &fsFilterCallbacks );

            if (!NT_SUCCESS( status )) {

                DriverObject->FastIoDispatch = NULL;
                ExFreePoolWithTag( fastIoDispatch, FILESPY_POOL_TAG );
                IoDeleteDevice( gControlDeviceObject );
                return status;
            }
        }
    }
#endif

//

// 初始化全局变量。链表,锁等

//

 ExInitializeFastMutex( &gSpyDeviceExtensionListLock );
    InitializeListHead( &gSpyDeviceExtensionList );

    KeInitializeSpinLock( &gControlDeviceStateLock );

    InitializeListHead( &gOutputBufferList );

    KeInitializeSpinLock( &gOutputBufferLock );
    KeInitializeSpinLock( &gLogSequenceLock );

    ExInitializeFastMutex( &gSpyAttachLock );

#ifndef MEMORY_DBG

    //
    //  When we aren't debugging our memory usage, we want to allocate
    //  memory from a look-aside list for better performance.  Unfortunately,
    //  we cannot benefit from the memory debugging help of the Driver
    //  Verifier if we allocate memory from a look-aside list.
    //

    ExInitializeNPagedLookasideList( &gFreeBufferList,
                                     NULL/*ExAllocatePoolWithTag*/,
                                     NULL/*ExFreePool*/,
                                     0,
                                     RECORD_SIZE,
                                     FILESPY_LOGRECORD_TAG,
                                     100 );
#endif

//

// 初始化名称环境。SpyInitNamingEnvironment位于:fspyHash.c中。初始化:gHashTable和gHashLockTable这2个全局变量。

// 初始化内部字符串,存于全局变量:gVolumeString、gOverrunString、gPagingIoString

//

SpyInitNamingEnvironment();

RtlInitUnicodeString(&gVolumeString, L"VOLUME");
RtlInitUnicodeString(&gOverrunString, L"......");
RtlInitUnicodeString(&gPagingIoString, L"Paging IO");

//

// IoRegisterFsRegistrationChange 注册文件系统变动回调。当系统中有任何文件系统被激活或被注销时,注册过的回调函数就会被调用。

//

// 注:这里的文件系统激活和卷的挂载是2回事。文件系统,比如NTFS、FAT32等,如果系统中一个NTFS的磁盘卷都没有采用这种文件

// 系统,那么这时的操作系统时没有加载NTFS文件系统的驱动,换言之,NTFS处于未激活状态。当任何一个卷采用了NTFS这种文件

// 系统,则NTFS被加载了,此时就叫NTFS被激活,以后再有卷采用NTFS文件系统挂载时,都不能说是文件系统的激活。

//

// 2K SP4和XP及以后的OS,会枚举所有已经存在的文件系统(除了RAM文件系统)。而2K SP4以前的,不会枚举已经在过滤驱动加载之前

// 就已经挂载上了的文件系统。

//

if (gFileSpyAttachMode == FILESPY_ATTACH_ALL_VOLUMES) {

        status = IoRegisterFsRegistrationChange( DriverObject,  SpyFsNotification );

        if (!NT_SUCCESS( status )) {

            SPY_LOG_PRINT( SPYDEBUG_ERROR,
                           ("FileSpy!DriverEntry: Error registering FS change notification, status=%08x\n",
                            status) );

            DriverObject->FastIoDispatch = NULL;
            ExFreePoolWithTag( fastIoDispatch, FILESPY_POOL_TAG );
            IoDeleteDevice( gControlDeviceObject );
            return status;
        }
    }

 

#if WINVER >= 0x0600

//

// 根据filespy创建资源管理器。SpyCreateKtmResourceManager位于:fspyTx.c中

//

status = SpyCreateKtmResourceManager();

if (!NT_SUCCESS( status )) {

        SPY_LOG_PRINT( SPYDEBUG_ERROR,
                       ("FileSpy!DriverEntry: Error creating Ktm resource manager, status=%08x\n",
                        status) );

        return status;
    }

//

// 下面就比较简单了,就不提了。

//

    //
    //  Initialize the lookaside list for the transaction context data.
    //  We will create a transaction context for each enlistment we create.
    //  The context data will be freed when the KTM callback routine
    //  receives appropriate notifications.
    //

    ExInitializeNPagedLookasideList( &gTransactionList,
                                     NULL,
                                     NULL,
                                     0,
                                     sizeof( FILESPY_TRANSACTION_CONTEXT ),
                                     FILESPY_TRANSACTION_TAG,
                                     0 );

#endif


    //
    //  Clear the initializing flag on the control device object since we
    //  have now successfully initialized everything.
    //

    ClearFlag( gControlDeviceObject->Flags, DO_DEVICE_INITIALIZING );

    return STATUS_SUCCESS;

 

 

}

菜鸟行者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
FileSpy:监控您的计算机-开源
05-07
使用FileSpy,您可以监视计算机的文件系统,并且在以下情况时通知您:创建文件,修改文件,删除文件,重命名文件以及许多强大的功能! 由于该程序主要用于查找程序将数据保存在何处,因此可以有针对性地限制监视。 (仅查找带有EXE扩展名的文件...)
源码笔记--文件过滤驱动FileSpy第2 -- 绑定CDO
junjie1595的专栏
11-18 1436
第一中,已经解DriverEntry这个函数,函数里面就是做了一些初始化工作,创建用于通信的设备,设置各种回调,注册文件系统变动回调等等。 今天接着看filespy.c中的SpyFsNotification函数。该函数是IoRegisterFsRegistrationChange注册的文件系统变动回调函数。先看这个的理由如下: 在没看任何代码前,我的思维是:首先绑定系统中的所有物
Windows文件系统过滤驱动开发教程
amd k_7的专栏
12-11 3000
0.       作者,楚狂人自述我长期网上为各位项目经理充当“技术实现者”的角色。我感觉Windows文件系统驱动的开发能找到的资料比较少。为了让技术经验不至于遗忘和引起大家交流的兴趣我以我的工作经验撰写本教程。我的理解未必正确,有错误的地方望多多指教。有问题欢迎与我联系。我们也乐于接受各种驱动项目的开发。邮箱为[email protected],QQ为16191935。对于这本教程,您可以
编写简单的驱动
qinqin772的博客
07-27 3919
1.下面写一个最简单的驱动,这个驱动只有两个函数,也就是说一个驱动最少需要两个函数,这两个函数是 NTSTATUS DrvierEntry( PDRIVER_OBJECT pDriver, PUNICODE_STRING pRegPath); VOID DriverUnload(PDRIVER_OBJECT pDriver);  2.我们先建一个驱动项目: 2.1 创建或者需要选
透明加密系统设计及实现-WINDOWS内核分析及编程方法
07-04 702
本文主要介绍Windows内核的基本结构,了解Windows的基本结构是进行内核编程的必不可少的内容。透明文件加密系统最为核心的单元是采用Windwos 内核过滤驱动进行设计和实现的,故而必须准确认识和理解Windwos内核驱动模型的原理才能设计出合理高效的透明加密的驱动程序。过滤驱动...
源码笔记--文件过滤驱动FileSpy第4 -- 关于IRP_MJ_FILE_SYSTEM_CONTROL
junjie1595的专栏
11-18 2127
前面3,已经完了绑定一个文件系统被挂载时,绑定的操作。这里得说一下总体的框架视角下,需要绑定的东西。   1:变动回调里实现绑定,这个绑定是文件系统被挂载或取消时,需要实现的。 2:变动回调已经掉过了,就是说文件过滤驱动已经加载,并运行。新来某个文件系统的储存设备,也需要绑定。   这里变动回调里面已经绑定了已经存在的卷设备,那么新加上来的存储设备,如何绑定?看下
windows驱动编程中的入口函数DriverEntry
苞米地里捉小鸡的博客
05-28 1186
1 入口函数的定义 NTSTATUS DriverEntry( IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath ) 这个函数的返回值是一个NTSTATUS类型,这个返回值的宏定义在ntstatus.h这个头文件中 2参数PDRIVER_OBJECT 它代表的是windows中的一个指向驱动对象的指针,前面的P就是Pointer的意思,这个驱动对象对应的就是我们要操作的.sys驱动 这个驱动对象是Wi.
文件系统过滤驱动基础知识
夜空
07-12 5803
 文件系统过滤驱动基础知识一、何谓文件系统过滤驱动?     文件系统过滤驱动是一种可选的,为文件系统提供具有附加值功能的驱动程序。文件系统过滤驱动是一种核心模式组件,它作为Windows NT执行体的一部分运行。     文件系统过滤驱动可以过滤一个或多个文件系统或文件系统卷的I/O操作。按不同的种类划分,文件系统过滤驱动可以分成日志记录、系统监测、数据修改或事件预防几类。通常,
Linux 之 samba 服务
JaneNancy的博客
06-05 890
samba服务:实现的是linux和windows不同平台的资源共享 一、nfs文件系统的安装和启用 【server】: [root@server ~]# yum install samba samba-client samba-common -y ##下载服务 [root@server ~]# systemctl start smb ##开启(森巴)服务 [root@server ~]#...
FileSpy:Kotlin项目,可用于从新插入到窗口中的可移动驱动器以及部署了该软件的macOS计算机(经过一些修改)中窃取与给定模式匹配的文件
04-30
对于中文版本,请参见 对计算机管理员有用的工具 请注意,对于侵犯隐私权,我不承担任何责任。 您同意对使用此程序的所有后果负责。 启动该程序,插入可移动驱动器,然后将扫描所有内容并将某些文件复制到您的计算机。 当您知道您的教授经常将考试结果存储在其USB闪存中,但是尽管您强烈希望获得考试的结果时,他们却从未将结果提供给任何人,这特别有用。 从那时起,当他们将自己的闪存盘插入教室中用于PPT的计算机时,您就可以拥有所需的一切。 编译的依存关系 Kotlin JUnit 4(用于测试) 定制和数据存储 包括被盗文件和设置在内的所有内容都存储在C:\ ProgramData \ Local \ FileSpy中。 当前不支持MacOS,但需要进行一些修改才能使其运行。 FileSpy通过使用patterns.txt正则表达式检查文件名来决定是否需要复制文件。 一行换一个模式。 享受。
FileSpy 1.3.4老朽痴拙汉化版(.net电脑文件监视器)
10-02
FileSpy 1.3.4老朽痴拙汉化版(.net电脑文件监视器).您可以监视和记录您的计算机的文件系统,如:创建文件,更改文件,文件已被重命名,文件被删除,和许多强大的功能 !由于该程序主要目的是找出程序存储的数据,您可以有限制有针对性的(仅查找exe扩展名的文件)进行目标监控。最有可能的用途是告诉当您的电脑从互联网上下载的间谍软件,并告诉你时间和它存储的文件夹. Mit FileSpy kannst du das Dateisystem deines Computers überwachen und es meldet sich wenn: Eine Datei erstellt wurde Eine Datei ver?ndert wurde Eine Datei gel?scht wurde Eine Datei umbenannt wurde Und viele tolle Funktionen! Da das Programm in erster Linie dafür gedacht ist herauszufinden, wo Programme ihre Daten abspeichern, kann man die überwachung gezielt einschr?nken. FileSpy is an open source program that watches and logs files that has changed, deleted, created, and renamed. Most likely use of this is to tell when your computer has downloaded spywares from the internet and tell you the time and folder it is stored
FileSpy文件过滤分析工具
05-12
FileSpy 可以很详细的监控到文件的访问记录,包括每个IRP
filespy驅動程序
03-02
抽取檔案流動,支援xp版本 filespy filter driver 原代碼
FileSpy x64
08-17
windows 文件系统IRP抓包工具, 包括64位机的版本, 解压后, 选择要监视的卷就可以抓取IRP了
易语言多进程保护工具-免SSDT源码,易语言多进程保护工具-高级版
07-16
易语言恒云雨驱动源码,恒云雨驱动,发送指令,刷新进程_,取内存变量地址_,创建快照_,第一个_,下一个_,关闭对象_,OpenProcess,TerminateProcess,取当前进程标识符_,ShellExecuteA,DriverEntry,CreateDevice,...
易语言文件磁盘驱动
07-16
易语言文件磁盘驱动源码,文件磁盘驱动,Raw_DriverEntry,Raw_FileDiskUnload,Raw_FileDiskCreateClose,Raw_FileDiskReadWrite,Raw_FileDiskDeviceControl,Raw_FileDiskThread,Raw_OnApc_ReadWriteEnd,CallbackInit,...
驱动程序设计基础专题-filedisk源码分析
09-28
虚拟光驱用实现文件来模拟磁盘的原理,是文件系统驱动程序。 把filedisk驱动安装,查看install.txt文件。 1.Copy the driver (filedisk.sys) to %systemroot%\system32\drivers\. 2.Import filedisk.reg to the ...
驱动开发例程-驱动入门详解
04-27
问1:什么是过滤驱动?(2009-4-15) 3 问2:什么是IRP?(2009-4-15) 4 问3:驱动栈,设备栈?(2009-4-15) 7 问4:文件系统过滤驱动(FSFD)为什么能过滤文件系统(FSD)?(2009-4-16) 9 问5:怎么用好DDK(或WDK,现在起...
驱动级注入dll源码
最新发布
10-01
驱动级注入DLL源码是一段用于实现在内核层次进行DLL注入的代码。通常情况下,DLL注入用于在目标进程的地址空间中运行指定的DLL文件,从而实现对目标进程的监控、修改或增强功能。 驱动级注入DLL源码需要使用Windows...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值