Win64 驱动内核编程-17. MINIFILTER(文件保护)

最新推荐文章于 2023-09-06 18:01:18 发布
最新推荐文章于 2023-09-06 18:01:18 发布
阅读量1w 收藏 15
点赞数 2
分类专栏: 驱动内核编程 文章标签: 驱动 MINIFILTER 文件过滤 文件保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013761036/article/details/63254697
版权
MINIFILTER是微软推荐的文件操作过滤方法,尤其在Vista之后。相比于传统的HOOK方法,MINIFILTER更安全、方便。本文介绍了如何使用Visual Studio创建MINIFILTER驱动项目,并生成模板文件。通过修改模板并在虚拟机上安装,可以实现文件保护。在CMD中,可以使用`sc`命令来控制MINIFILTER驱动的启动、停止和删除。回调函数的设置是关键,用于定义在文件操作前后的处理行为。
摘要由CSDN通过智能技术生成

 MINIFILTER(文件保护)

    使用 HOOK 来监控文件操作的方法有很多,可以在 SSDT 上 HOOK 一堆和 FILE 有关的函数,也可以对 FSD 进行 IRP HOOK,不过这些方法既不方便,也不安全。微软推荐的文件操作过滤方法是使用过滤驱动,在 VISTA 之后,推荐使用 MINIFILTER (字面翻译是迷你过滤器)。MINIFILTER 基于标准的文件过滤驱动,但是微软把它封装得很好,使得大家不用注意太多细节,而专注于对 IRP 的过滤。

    之前一直在看一些细节和各种配置文件设置,最后发现如果用VSIDE的话直接就自动生成模板了。先说下创建一个MiniFilter驱动项目:

最低0.47元/天 解锁文章
TK13
关注
专栏目录
Minifilter实现目录保护
lastsurvivor的专栏
10-11 2505
这次的任务是对web服务器进行目录保护,防止增、删、改操作,我负责windows平台下的开发。经过半个月的摸索和各位大牛的帮助,已经实现了功能。以下是最近学习win内核的经验:            程序流程很简单,按照Minifilter框架,填写预操作回调函数。 所有IRP
windows驱动DirProtect 实现保护目录文件
最新发布
xwzj264的专栏
05-23 244
实现了一个win驱动可支持任意windows系统。实现对目录的保护,包括:修改,查阅,删除等操作都可以实现。此时这个目录只能支持添加修改。当然可定制任意模式。二,目录被保护:protect_dir被保护。一,编译好驱动后,安装和启动。
使用Minifilter过滤驱动保护文件
qq_18811919的博客
09-06 540
用于文件保护过滤驱动,在红蓝对抗中可与EDR对抗。
Minifilter目录保护
10-10
对某目录一下所有子目录和文件进行保护 禁止增、删、改操作,包含应用层与内核通信所有代码,一起送了。
文件保护_minifilter_文件保护_
09-29
采用minifilter框架编写的文件保护,ring3传入要保护的路径即可
minifilter实现文件隐藏,很全,有源代码
04-20
里面是用windows驱动驱动minifilter框架实现的文件隐藏功能,里面有六个条目,前两个条目分别是驱动层和应用层的源代码;接下来的两个文件时应用层的文件(一个是配置文件,一个是exe应用层文件),InstMiniDrv是加载minifilter驱动文件,最后一个是生成的驱动文件,ps(以上文件在启动时都要以管理员权限启动,不然会失败,因为驱动的加载要用管理员权限才行)
Win64 驱动内核编程-34.对抗与枚举MiniFilter
墨鱼菜鸡
12-18 189
对抗与枚举MiniFilter MiniFilter是目前杀毒软件用来实现“文件系统自我保护”和“文件实时监控”的方法。 由于MiniFilter模型简单,开发快捷,通用性好,以前用FSDHOOK或者标准过滤驱动来实现相关功能的杀软纷纷改用MiniFilter,比如卡巴斯基。不过,...
天使也掉毛 Win64 驱动内核编程
11-24
本文将结合提供的文件信息,详细介绍Win64驱动内核编程的知识点。 首先,进行Win64驱动内核编程,需要搭建好开发与调试环境。通常情况下,开发环境的搭建包括安装Visual Studio 2015、Windows Driver Kit(WDK)和...
驱动加入执行文件保护
08-05 686
     近来发觉自己的软件被人破,心中甚是恼火,恼火当初没花时间在反破解上。    反正鄙人尽量琢磨了点驱动东东,心想加上点RING0的看你小样去破去。    这样吧,弄点狠的,如果有看官,也帮我琢磨下可行性。    1、启动方式上面,采用牺牲程序的方式,由加载(牺牲)程序做好初始化,包括:驱动加载,调试器检测,一旦通过立即和驱动通讯,由驱动解密牺牲程序中封装的资源,然后由驱动
易语言驱动文件保护模块
07-10
可以驱动保护文件和强删文件,适用64位系统 win7-win10
C++,文件加密过滤驱动,文件保护程序
04-27
FileGuard 是一个文件保护程序,能对指定目录或指定文件进行监视并保护。主要功能有:删除保护,写保护,读保护,隐藏文件等。 组成文件: FileGuard.exe, FGHook.vxd, FGHelp.chm, 一个保护信息文件(默认为ProtFile.ini)。 使用时请确保前三个文件在同一目录下。 运行环境: IBM PC,Windows 9x/Me (NT下不能使用)
miniFilter 拦截与通讯实例
06-01
基于vs2012 wdk8.1 minifilter拦截文件操作并与R3层通信
驱动层双机调试,文件保护,进程保护
xiaobai_2511的博客
04-27 1907
最近在驱动层 做了三个东西   1、双机调试  win764 + 虚拟机win7 64  用的VirtualKD-3.0 (比串口那种通信好的多) 具体教程网上很多。 2、文件保护用的 minifliter,过程中,遇到的问题是用NT驱动加载minifilter 加载不上,用wdm驱动就能加载上。想要用NT 驱动加载上,需要创建服务之后,启动服务之前写注册表。具体方法参考这个链接  点击打开链
文件系统Minifilter驱动(一)
热门推荐
听风
03-02 1万+
文件系统Minifilter驱动  声明:本系列文章源于WDK,所有权利归原作者所有,翻译的目的只为交流和学习。除了商用你可以随意地使用这篇译文。但请不要删除声明。                                                     ——by jununfly  说明: 所有preoperation及postoperation
文件保护 miniflter
dingchangkejigongsi的博客
05-18 912
通过minifilter来实现对指定文件夹,禁止删除、重命名。以及指定保护文件,禁止用户修改、删除、重命名,禁止往指定文件夹里面新建文件、以及文件夹以及禁止拷贝文件。 探讨加QQ:2740458587
拦截Minifilter与应用层通信的FltMessage
Sven的忘却日记
07-29 646
关于如何拦截Minifilter和应用层之间的通信消息,Hook FltMessage的两种方式
VS2008+WDK 文件过滤驱动程序 开发环境配置
weixin_30873847的博客
06-27 146
许多驱动程序开发都将环境架设在VC上,可是偶的本本上好不容易安了个vs2008,舍不得删啊,因此毅然选择vs2008,抛弃vc。要开发驱动,DDK是少不了的,但是现在操作系统日新月异,老DDK是不能适应国家下一个“五十年计划”滴~~于是,我又一次毅然决然选择WDK代替DDK,呵呵,还是跟着微软大虾们的足迹,往前看吧...... 先弄明...
驱动开发】文件系统微过滤驱动Minifilter
qq_42814021的博客
04-13 1049
驱动开发】文件系统微过滤驱动Minifilter
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值