Windows过滤驱动 以及简单例子

最新推荐文章于 2024-08-16 13:36:25 发布
最新推荐文章于 2024-08-16 13:36:25 发布
阅读量309 收藏 4
点赞数 6
分类专栏: windows驱动内核开发 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangyihu321/article/details/140661021
版权

Windows 过滤驱动是一种特殊类型的驱动程序,它可以拦截发送到另一个驱动程序或设备的 I/O 请求,修改或增强这些请求的行为。过滤驱动可以用于多种目的,如安全、监控、数据转换等。以下是对 Windows 过滤驱动的详细解释,并附带一个简单的键盘过滤驱动示例。

1. 过滤驱动的基本概念:

   - 过滤驱动位于设备栈中,可以是上层过滤驱动或下层过滤驱动。
   - 它们可以检查、修改或拒绝 I/O 请求。
   - 过滤驱动通常用于增加功能或修改现有驱动的行为,而无需修改原始驱动。

2. 过滤驱动的主要功能:

   - 拦截 I/O 请求包(IRP)
   - 修改或增强 I/O 操作
   - 添加新的设备控制代码(IOCTL)
   - 监控设备活动
   - 实现安全策略

3. 过滤驱动的类型:

   - 文件系统过滤驱动
   - 设备过滤驱动
   - 类过滤驱动

4. 键盘过滤驱动示例:

以下是一个简化的键盘过滤驱动示例,它会将所有输入的小写字母转换为大写字母:

```c
#include <ntddk.h>
#include <kbdmou.h>

DRIVER_INITIALIZE DriverEntry;
NTSTATUS CompleteRequest(PIRP Irp, NTSTATUS status, ULONG_PTR information);
NTSTATUS KeyboardReadComplete(PDEVICE_OBJECT DeviceObject, PIRP Irp, PVOID Context);

// 驱动对象
PDEVICE_OBJECT g_pFilterDeviceObject = NULL;
// 下层设备对象
PDEVICE_OBJECT g_pTargetDeviceObject = NULL;

// 驱动入口函数
NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath)
{
    NTSTATUS status;
    UNICODE_STRING deviceName;
    PDEVICE_OBJECT deviceObject = NULL;

    // 设置分发函数
    DriverObject->MajorFunction[IRP_MJ_READ] = FilterDispatchRead;
    DriverObject->DriverUnload = FilterUnload;

    // 创建过滤设备
    RtlInitUnicodeString(&deviceName, L"\\Device\\KeyboardFilter");
    status = IoCreateDevice(DriverObject, 0, &deviceName, FILE_DEVICE_KEYBOARD, 0, FALSE, &deviceObject);

    if (!NT_SUCCESS(status))
    {
        return status;
    }

    // 获取键盘类驱动设备对象
    UNICODE_STRING keyboardName;
    RtlInitUnicodeString(&keyboardName, L"\\Device\\KeyboardClass0");
    status = IoAttachDevice(deviceObject, &keyboardName, &g_pTargetDeviceObject);

    if (!NT_SUCCESS(status))
    {
        IoDeleteDevice(deviceObject);
        return status;
    }

    g_pFilterDeviceObject = deviceObject;

    return STATUS_SUCCESS;
}

// 读取分发函数
NTSTATUS FilterDispatchRead(PDEVICE_OBJECT DeviceObject, PIRP Irp)
{
    PIO_STACK_LOCATION irpStack = IoGetCurrentIrpStackLocation(Irp);

    // 设置完成例程
    IoSetCompletionRoutine(Irp, KeyboardReadComplete, NULL, TRUE, TRUE, TRUE);

    // 将 IRP 传递给下层驱动
    return IoCallDriver(g_pTargetDeviceObject, Irp);
}

// 读取完成例程
NTSTATUS KeyboardReadComplete(PDEVICE_OBJECT DeviceObject, PIRP Irp, PVOID Context)
{
    if (NT_SUCCESS(Irp->IoStatus.Status))
    {
        PKEYBOARD_INPUT_DATA kiData = (PKEYBOARD_INPUT_DATA)Irp->AssociatedIrp.SystemBuffer;
        ULONG numKeys = (ULONG)(Irp->IoStatus.Information / sizeof(KEYBOARD_INPUT_DATA));

        for (ULONG i = 0; i < numKeys; i++)
        {
            // 将小写字母转换为大写
            if (kiData[i].MakeCode >= 0x10 && kiData[i].MakeCode <= 0x19)  // a-j
            {
                kiData[i].MakeCode -= 0x20;
            }
            else if (kiData[i].MakeCode >= 0x1E && kiData[i].MakeCode <= 0x26)  // k-s
            {
                kiData[i].MakeCode -= 0x20;
            }
            else if (kiData[i].MakeCode >= 0x2C && kiData[i].MakeCode <= 0x32)  // t-z
            {
                kiData[i].MakeCode -= 0x20;
            }
        }
    }

    // 如果我们是最后一个完成例程,就完成 IRP
    if (Irp->PendingReturned)
    {
        IoMarkIrpPending(Irp);
    }

    return Irp->IoStatus.Status;
}

// 驱动卸载函数
VOID FilterUnload(PDRIVER_OBJECT DriverObject)
{
    // 分离并删除过滤设备
    if (g_pFilterDeviceObject)
    {
        IoDetachDevice(g_pTargetDeviceObject);
        IoDeleteDevice(g_pFilterDeviceObject);
    }
}
```

这个示例展示了键盘过滤驱动的基本结构:

1. `DriverEntry` 函数创建过滤设备并附加到键盘设备栈。
2. `FilterDispatchRead` 函数拦截读取请求,并设置完成例程。
3. `KeyboardReadComplete` 函数在键盘数据被读取后被调用,它将小写字母的扫描码转换为大写字母的扫描码。
4. `FilterUnload` 函数在驱动卸载时清理资源。

注意事项:

- 这只是一个简化的示例,实际的驱动程序需要更多的错误处理和资源管理。
- 在实际应用中,您可能需要处理更多的 IRP 类型和设备 I/O 控制代码。
- 过滤驱动需要仔细设计,以避免影响系统性能或稳定性。
- 在 Windows 中开发和部署内核模式驱动需要签名和认证,这对于生产环境是必要的。

这个例子展示了过滤驱动的基本概念和结构。在实际应用中,过滤驱动可以用于更复杂的任务,如监控、安全增强、虚拟化等。
 

爱学习的大牛123
关注
专栏目录
Windows 10驱动开发入门(四):USB下的过滤驱动
haleycat的博客
06-30 2070
果不其然,我们的`ctrl`键,被替换了。
window 过滤驱动的编写
不会写代码的丝丽
04-07 733
有时我们需要监控操作系统内核中一些特定的操作如网络驱动的收发,键盘驱动事件,文件读写等。著名的wireshark软件就是利用过滤驱动的机制完成相关操作如下图所示: 我们有可以编写一个过滤驱动拦截相关请求的结果从而实现监听。我们首先编写一个简单简单驱动接受的读写控制请求,这个驱动将来要作为我们被附加监听的驱动示例 需求设计如下: (1) 我们这个驱动会创建一个设备 。 (2) 的读取请求直接返回异步结果 (3) 的控制请求直接将读取请求的异步结果返回 (3) 关闭文件操作,也会触发之前的读请求异步结果
Windows驱动开发WDM (13)- 过滤驱动
热门推荐
zj510的专栏
12-19 1万+
之前用的驱动例子是一个功能型驱动,只不过它操作的是一个虚拟设备。这个驱动创建的FDO(功能设备对象)是附在虚拟总线驱动创建的虚拟PDO之上的。这次来介绍一下不同于功能型驱动过滤驱动过滤驱动可以在功能型驱动的上面,称之为上层过滤驱动,或者高层,反正就这个意思。过滤驱动在功能型驱动下面,称之为下层过滤驱动。看示意图: 从名字上就可以知道过滤驱动是干啥用的。就是起过滤作用。比如: 1. 可以
Windows过滤平台(WFP)
最新发布
zhangyihu321的专栏
08-16 1193
wfp windows 驱动
键盘过滤驱动
weixin_33963594的博客
09-30 188
      在笔者接触驱动到如今以来一以后大半个月的时间,从中让我深深的体会到了万事开头难,以及学习持之以恒的重要性。笔者也是个驱动新人,開始接触驱动的时候看着张帆的《Windows驱动开发技术具体解释》讲的挺细,对新手来说是个不错的学习资料,可是更重要的还是自己要多动手练习,笔者在学习到同步操作的相关知识的时候,实在是看天书。最后还是放弃了学习本书。再找了本楚狂人的资料学习,感觉本书对新...
Windows文件系统过滤驱动开发教程
bluesun777的专栏
02-26 1153
导读:   我长期网上为各位项目经理充当“技术实现者”的角色。我感觉Windows文件系统驱动的开发能找到的资料比较少。为了让技术经验不至于遗忘和引起大家交流的兴趣我以我的工作经验撰写本教程。   我的理解未必正确,有错误的地方望多多指教。有问题欢迎与我联系。我们也乐于接受各种驱动项目的开发。邮箱为MFC_Tan_Wen@163.com,QQ为16191935。   对于这本教程,您可以免费获得并
文件过滤驱动用于windows驱动学习
10-19
文件过滤驱动,方便大家参考,内容比较完善,参考此驱动后,对以后写WINDOWS驱动有帮助。第一个驱动就是从这里开始的,源代码比较有参考意义
41、过滤驱动程序
weixin_33835690的博客
12-13 153
    过滤驱动程序可以修改已有驱动的功能,也可以对数据进行过滤加密。WDM驱动需要通过注册表记录指定加裁的过滤驱动,OS会读取这些值完成加载,其可以是高层过滤,也可以是低层过滤。而NT较为灵活,不用设置注册表,直接在内存中寻找设备对象,然后自行创建过滤驱动并将自己附加在这个驱动之上。     过滤驱动的入口函数需要将所有的IRP都设置派遣例程,因为过滤驱动要保证所有上层传递下来的IRP都能...
串口驱动_串口驱动过滤_串口过滤_简单串口过滤驱动_
09-30
总的来说,串口驱动过滤技术为开发者提供了定制串口通信行为的途径,而“简单串口过滤驱动”是这一技术的具体应用实例。通过学习和实践,开发者能够构建自己的过滤驱动,满足特殊需求,如增强数据安全、优化性能或...
Windows 文件系统过滤驱动开发教程(第二版)
07-03
Windows 文件系统过滤驱动开发教程(第二版)》是一本深度探讨Windows操作系统中Minifilter驱动程序开发的专业教程。在Windows系统中,文件系统过滤驱动是控制文件操作的关键技术,它允许开发者对文件系统的读写、...
Windows文件系统过滤驱动开发教程(第二版)
08-30
Windows文件系统过滤驱动是一种运行在Windows操作系统内核模式下的软件组件,它通过在文件系统执行操作请求之前或之后拦截文件系统相关的输入/输出请求,能够对文件系统的访问行为进行控制和修改。通常,驱动程序...
windows 文件过滤驱动开发
10-31
Windows 文件系统过滤驱动开发教程,对于初学者理解Windows过滤驱动很好的教材
wdm驱动-过滤驱动
12-19
wdm驱动,包括功能驱动和附在它上面的过滤驱动(上层过滤驱动)。一个很简单例子
Windows过滤驱动程序的概念
bcbobo21cn的专栏
04-04 1175
过滤,filter,过滤是在不影响上层和下层接口的情况下,在Windows系统内核中加入新的层,从而不需要修改上层的软件或者下层的真实驱动程序,就加入了新的功能。 举个例子: 实时监控的反病毒程序。任何高层软件或者Windows的文件系统都没有考虑过应该什么时候去检查文件中是否含有某个病毒的特征 码,也不应该要求某个软件或者Windows的文件系统去考虑这些;反病毒程序需要在不改变文件系统的上层和下层接口的情况下,在中间加入一个过滤 层,这样就可以在上层软件读取文件、下层驱动提供...
Windows驱动编程基础(下)之过滤驱动的安装和框架概述
zhaopeng01zp的博客
04-28 4418
Windows驱动编程基础(下)之过滤驱动的安装和框架概述第六章 过滤驱动的安装和框架概述过滤驱动的概念和安装怎么找设备栈中的功能设备对象呢?如何安装过滤驱动怎么卸载这个过滤驱动呢?另一种安装过滤驱动的方法这两种安装过滤驱动方法的区别:过滤驱动框架 第六章 过滤驱动的安装和框架概述 过滤驱动的概念和安装 怎么找设备栈中的功能设备对象呢? 这就牵扯到注册表了,我们在第一部分讲过和驱动相关的注册表, 上图所选即为虚拟机中网卡的实例ID,PCI就是BusDevice,PCI下面那一堆VEN_15AD&am
文件系统过滤驱动总结
bcbobo21cn的专栏
04-13 3398
文件系统过滤驱动 . 1 文件系统过滤驱动工作原理 Windows NT内核操作系统的驱动模型采用分层结构,如图1所示。图中左边是一个设备对象栈,设备对象 是操作系统为帮助软件管理硬件而创建的数据结构。每个硬件至少包含一个物理设备对象(PDO)和功能 设备对象(FDO),它们中间会存在一些过滤设备对象(FiDO)。驱动程序对象包含了一组处理I/O请求 的例程。分层结构使I
驱动开发 键盘过滤驱动程序-- 传统的键盘过滤
weixin_34391854的博客
07-02 246
最近看 《树木和独钓 windows内核编程》,看到键盘过滤部分,做笔记,仅供参考,那里被理解为是不正确的,同时,我们也希望大家指正。 如今来说一下传统型键盘过滤,就是把自己的设备对象绑定在KbdClass设备对象之上。那么发送到KbdClass的IRP都会先经过自己的设备对象,我们能够在读派遣函数中设置完毕例程,当IRP完毕后在完毕历程中得到按键信息。 KbdClass被称为键盘类驱...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值