minifilter 与用户态的通信

驱动层的步骤
1. 创建通信端口
　　FltCreateCommunicationPort 
　　　　对于安全对象，必须设置OBJ_KERNEL_HANDLE。
　　　　ServerPort 监听客户端连接请求的端口。
　　　　第三个参数ObjectAttributes 通过InitializeObjectAttributes初始化，其中包含了端口名称。方便应用层打开。
　　　　ConnectNotifyCallback 用户态连接回调，这里对多个连接进行一些区别操作。
　　　　比如ClientPort，表示用户态与内核建立的新连接的客户端端口句柄。

　　　　minifilter必须把该句柄传递FltSendMessage之类的函数，作为第二个参数。

　　　　与FltCreateCommunicationPort返回的ServerPort 不同。
　　　　并且一般在DisconnectNotifyCallback 中调用FltCloseClientPort释放。

　　　　DisconnectNotifyCallback 客户端所有连接端口中断，或者minifilter卸载时的回调。
　　　　***MessageNotifyCallback 用户态消息处理回调。
　　　　用户态通过FilterReplyMessage发送的消息，都在这里处理。
2. 关闭通信端口
　　FltCloseCommunicationPort
====================================================================
应用层的步骤
1. 创建连接
 　　FilterConnectCommunicationPort 打开一个新的通信服务器端口的连接。该微端口在驱动中创建。
 　　　　端口名类似L"\\MyFilterPort"
 　　　　应用程序通过返回的端口句柄与minifilter通信。
2. 发送数据
 　　FilterSendMessage 发送message给内核minifilter
 　　　　message发送到minifilter的消息通知回调函数中，在这里处理消息。

　　　　这些回调函数在内核创建通信端口时指定　　MessageNotifyCallback。
　　　　该操作是同步的。调用者处于等待状态，直到消息被传递并收到minifilter的replay。

　　　　当然如果希望有replay，那么outbuffer参数不能为空。
3. 接受数据
 　　FilterGetMessage 从minifilter取得一个message
 　　　　注意参数lpMessageBuffer，必须包含FILTER_MESSAGE_HEADER 结构。
 　　　　如果是同步操作，会一直等待直到收到消息。
 　　　　如果是异步操作，返回ERROR_IO_PENDING，通过重叠结构的事件来得知消息是否被传递。

 　　FilterReplyMessage
 　　　　注意参数lpReplyBuffer,必须包含FILTER_REPLY_HEADER 结构。

 　　***特别注意，FltSendMessage 与FilterReplyMessage的buffersize，由于padding的缘故，需要精确指定大小。
 　　typedef struct _REPLY_STRUCT
 　　{
          FILTER_REPLY_HEADERHeader;
          MY_STRUCTUREData;// The structure to be sent to the minifilter.
 　　} REPLY_STRUCT, *PREPLY_STRUCT;

 　　sizeof(REPLY_STRUCT) 可能比sizeof(FILTER_REPLY_HEADER) + sizeof(MY_STRUCT)大。
 　　所以建议使用后面的方式。

 

转载于:https://www.cnblogs.com/huangyong9527/archive/2012/09/07/2674720.html