Visual Studio 2013开发 mini-filter driver step by step (4) - 获取文件名

最新推荐文章于 2022-01-10 18:17:32 发布
最新推荐文章于 2022-01-10 18:17:32 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: driver开发 文章标签: mini filter driver visual studio
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhanghaiyang9999/article/details/38946975
版权

mini filter驱动一般用于杀毒,加密,数据实时备份等。无论是杀毒软件,加密软件还是备份软件等都是基于这样一个基本事实,就是监控文件内容以及文件内容的变化,怎样监控检测文件内容?就是监控文件的读写操作,比如read,write,create等,mini filter支持监控文件的所有操作。

我们可以用下面的这些函数来处理文件名相关操作。

FltGetDestinationFileNameInformation

FltGetFileNameInformation

FltGetFileNameInformationUnsafe

FltGetTunneledName

FltParseFileNameInformation

FltReleaseFileNameInformation

比如我们可以用FltGetFileNameInformation在PreWrite中区获取文件名,代码如下所示:


下面的代码先获取文件名,然后判断文件名的扩展名是不是.ssmffile,如果是,则打印出文件名,以及要写入的数据长度,偏移量等。

 

PFLT_FILE_NAME_INFORMATION file_name_info = NULL;


status = FltGetFileNameInformation(Data, FLT_FILE_NAME_NORMALIZED | FLT_FILE_NAME_QUERY_DEFAULT, &file_name_info);


if (NT_SUCCESS(status))

{



WCHAR *ssmfflag = L".ssmffile";


SIZE_T len = sizeof(WCHAR) * wcslen(ssmfflag);


if (file_name_info->Name.Length > wcslen(ssmfflag) &&


RtlCompareMemory((char*)ssmfflag, (char *)((char *)file_name_info->Name.Buffer + file_name_info->Name.Length - len), len) == len)




{



PT_DBG_PRINT(PTDBG_TRACE_ROUTINES, ("The file name is %wZ,the offset is %u,len is %u", file_name_info->Name, iopb->Parameters.Write.ByteOffset, writeLen));


  




}


}


FltReleaseFileNameInformation(file_name_info);


}






Simple-Soft
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Minifilter过滤,功能实现对驱动目录的监控,包括创建,重命名,删除并实现hips
zhuhuibeishadiao
05-02 1万+
注意下:我的这套过滤只能用在nt6系统上 原因是使用一个nt6上才有的函数 见函数 PsGetProcessFullName 其实没必要自己来写获取全路径 因为minifilter已经给我们提供了获取全路径的函数 FltGetFileNameInformation 我就不改了,哈哈 说说遇到的问题吧 在监控创建的时候,我在卸载post中的,我拒绝后,在弹窗,2-3
文件系统Minifilter驱动(三)
听风
03-02 9838
5).管理文件名filter管理器消除了legacy过滤驱动重获和管理文件名所必需的许多工作。当一个名被请求时,filter管理器在引用计数结构中以适当的格式为当前操作提供名: 规范名, opened名或短名.  minifilter驱动可以调用FltGetDestinationFileNameInformation 来为正被rename或其NTFS hard link正被创建的文件
windows驱动写日志,有Zw和Flt,记录操作某一文件夹的进程名
12-16
windows驱动写日志,可以获取进程的全路径(包含进程全名),有Zw系列函数的实现也有Flt系列函数的实现,用minifilter实现的
VS 2013驱动开发 + Windbg + VM双机调试(亲测+详解)
weixin_30410999的博客
11-17 342
------------VS 2013驱动开发 + Windbg + VM双机调试(亲测+详解)------------- WIN10已上线,随之而来的是VS2015;微软在 “WDK7600” 以后就不再提供独立的内核驱动开发包了,而是必须首先安装微软集成开发环境VS,然后再从微软官网下载集成的WDK驱动程序开发包、或者离线安装的开发包。 地址: https://msdn.micro...
FltGetFileNameInformation 函数
free2o的专栏
04-13 5006
 FltGetFileNameInformation 函数 在Minifilter 中可以使用 FltGetFileNameInformation 来获取文件的名字,但是这个函数在如下几种情况下是不能够工作的: 1. 当前thread 的 TopLevelIrp  不是NULL 2. Page I/O 3. Pre Create 操作中 4. Post Close 操作中 如果
windows文件系统驱动里FltGetFileNameInformation获取到的文件名称解析
danxuezx的专栏
05-22 1459
FltGetFileNameInformation(Data, FLT_FILE_NAME_NORMALIZED | FLT_FILE_NAME_QUERY_DEFAULT, &NameInformation) 1、如上面代码,在指定FLT_FILE_NAME_NORMALIZED参数时,获取到的file name情况如下: 针对一个本地文件: NameInformation->Volume:\Device\HarddiskVolumeX ...
Learn Visual C# A Step-By-Step Programming Tutorial epub
10-02
Learn Visual C# A Step-By-Step Programming Tutorial 英文epub 本资源转载自网络,如有侵权,请联系上传者或csdn删除 本资源转载自网络,如有侵权,请联系上传者或csdn删除
Microsoft Visual Studio 2013 Language Pack - ENU 英文离线语言包.rar
05-07
《Microsoft Visual Studio 2013 Language Pack - ENU 英文离线语言包》是为Visual Studio 2013开发环境提供的一个重要组件,它允许用户将IDE界面语言更改为英文,对于需要英文环境或者多语言切换的开发者来说尤其...
Learn Visual C# A Step-By-Step Programming Tutorial azw3
10-02
Learn Visual C# A Step-By-Step Programming Tutorial 英文azw3 本资源转载自网络,如有侵权,请联系上传者或csdn删除 本资源转载自网络,如有侵权,请联系上传者或csdn删除
Visual-studio2012-开发工具-使用说明.pdf
最新发布
11-16
Visual-studio2012-开发工具-使用说明.pdf
Microsoft Visual C# 2013 Step by Step,最新资料
12-04
If you have previous programming experience but are new to Visual C# 2013, this tutorial delivers the step-by-step guidance and coding exercises you need to master corMIcrosoft Microsoft visual c# ...
驱动记录操作某一文件夹内文件的进程名,写成日志
feixi7358的博客
12-13 893
监控D盘,看哪些进程操作了D盘里面的文件,把进程名及相应的文件路径写到日志里面 Zw---与Flt系列的函数都有,有两种写日志的方法 整个项目在 https://download.csdn.net/download/feixi7358/10854141 stdafx.h #ifndef _WIN32_WINNT // Allow use of features spec...
【原创】FltGetFileNameInformation蓝屏分析
weixin_30335353的博客
07-05 309
FAULTING_IP: nt!SeCreateAccessStateEx+5b80564184 848788000000 test byte ptr [edi+88h],al TRAP_FRAME: f1c6756c -- (.trap 0xfffffffff1c6756c)ErrCode = 00000000eax=00000001 ebx=81be08e0 ecx=81...
Mini-filter driver 读写文件
VHeroin的博客
03-27 1000
在kernel中读写文件要比在应用层麻烦一些,但是基本思路大体上还是一致的。 在内核中,也有很多相关的读写文件的API,本文只对 FltCreateFileEx FltReadFile FltWriteFile 进行简单说明。 这三个API和应用层的API CreateFileEx,ReadFile和WriteFile相对应。其作用分别是打开文件,从文件中读取数据和将数据写入文件。下面这个函数实现了文件拷贝操作,即将FullFileName的文件内容拷贝到FullFileName2中。 NTS
一个简单的windows filesystem mini filter 驱动例子
pureman_mega的博客
01-10 1228
代码网上都有,就讲一下解决安装问题: 1,mini filter 的安装,一开始还是项普通的 legacy driver一样,通过命令函 "sc create servicenam binPath type=kernel"发现一直报错:找不到文件;然后调整"sc create servicename binPath type=filesys";驱动可以起来,然后FltRegisterFilter失败,报错找不到对象(0xc0000034).原来mini filter driver 安装需要通过inf 文件
如何在Minifilter驱动的IRP中获取操作文件路径?
zj510的专栏
12-20 4652
如何在IRP中获取操作的文件路径?文件路径普通办法如何获取FileMapping操作在IRP_MJ_WRITE等IRP中的文件路径呢?IRP_MJ_CREATE获取文件路径并保存IRP_MJ_WRITE中获取路径 文件路径 在minifilter中,主要处理的是各种IRP,做DLP也好,做加解密也好。文件路径总是绕不开的。比如在IRP_MJ_WRITE中,绝大多数情况都得知道当前这次操作的文件路径...
MiniFilter文件系统学习
热门推荐
zhuhuibeishadiao
04-23 1万+
Minfilter与legacy filter区别 比sfilter加载顺序更易控制. altitude被绑定到合适的位置。  Minfilter在注册表服务项中有一项Altitude值 此值越高位置越靠前 (待考证 每一个minifilter驱动必须有一个叫做altitude的唯一标识符.一个minifilter驱动的altitude定义了它加载时在I/O栈中相对其他minifi
Minifilter文件系统过滤框架
zyorz的博客
05-11 1660
原理正常的IRP流程是R3 API调用时,会将请求封装成一个IRP经过IO管理器到达文件系统,然后在发往磁盘存储系统,最后到达硬件。使用MiniFilter后会在IO栈中添加MiniFilter管理器。当IRP到达文件系统之前时,首先会被该管理器拦截。管理器会将IRP封装成CALLBACK_DATA,由管理器中存在的多个minifilter驱动依次处理。这些驱动位置是固定的,位置由altitude属
使用Visual Studio 2015编译Objective-C指南
"Visual Studio 2015支持Objective-C的编译,通过集成的编译器和运行时技术,开发者可以在Visual Studio环境中编写和管理Objective-C代码,从而实现跨平台开发。" 在Visual Studio 2015中,微软引入了对Objective-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Simple-Soft

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值