minifilter/sfilter较为精确的判断是打开还是新建操作

已于 2024-07-16 19:50:45 修改
阅读量2.3k 收藏 8
点赞数 3
分类专栏: 驱动学习 杂谈 文章标签: IRP_MJ_CREATE minifilter FILE_OPENED FILE_CREATED FILE_OVERWRITTEN
于 2019-09-23 16:45:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/101206290
版权
本文针对minifilter/sfilter中IRP_MJ_CREATE操作,探讨如何准确区分文件是被新建还是打开。通过分析IRP->IoStatus.Information的值,可以在完成例程或PostCreate中判断文件操作类型。测试表明,不同Information值对应不同操作,如FILE_SUPERSEDE表示删除并新建,FILE_OVERWRITE则保留属性并清空内容。
摘要由CSDN通过智能技术生成

写这篇文章的原因是看到一些代码判断不准确,

导致效果很奇怪很奇怪,当时我哭晕在WC.

见过奇奇怪怪的判断,很无语.

于是有了这篇文章.

createfile可以新建文件和打开文件

这个不多说了

在文件过滤系统中IRP_MJ_CREATE

怎么判断是open还是create

无论是minifilter还是sfilter,

判断基本都相同,只不过sfilter在完成例程,minifilter在post操作

在sfilter的完成例程中判断irp->IoStatus.Information

在Minifilter的PostCreate中Data->IoStatus.Information

这个地方的取值如下:

#define FILE_SUPERSEDED                 0x00000000
#define FILE_OPENED                     0x00000001
#define FILE_CREATED                    0x00000002
#define FILE_OVERWRITTEN                0x00000003
#define FILE_EXISTS                     0x00000004
#define FILE_DOES_NOT_EXIST             0x00000005

根据不同的值可以知道此次是新建还是打开

以下是效果:

此图是测试文件全部不存在时

此图测试文件全部存在时

此图是其它文件

第二个图为什么把FILE_SUPERSEDE标记为新文件,

FILE_SUPERSEDE:删除原文件,新建一个文件

FILE_OVERWRITE:保留文件属性,清空内容.

下面是测试的代码:

#include "pch.h"

static WCHAR* g_szTestFileName[] = {
    L"\\??\\C:\\TestOpenIf.dat",
    L"\\??\\C:\\TestOverWriteIf.dat",
    L"\\??\\C:\\TestSupersed.dat"
};

PFLT_FILTER g_FilterHandle = NULL;

EXTERN_C static NTSTATUS FLTAPI
TestUnload(_In_ FLT_FILTER_UNLOAD_FLAGS Flags) 
{
    PAGED_CODE();
    UNREFERENCED_PARAMETER(Flags);

    FltUnregisterFilter(g_FilterHandle);

    return STATUS_SUCCESS;
}

EXTERN_C static const WCHAR* TestGetDispositionName(ULONG ulDisposition)
{
//#define FILE_SUPERSEDE                  0x00000000
//#define FILE_OPEN                       0x00000001
//#define FILE_CREATE                     0x00000002
//#define FILE_OPEN_IF                    0x00000003
//#define FILE_OVERWRITE                  0x00000004
//#define FILE_OVERWRITE_IF               0x00000005
    WCHAR const *szRet = nullptr;

    switch (ulDisposition)
    {
    case FILE_SUPERSEDE:
        szRet = L"FILE_SUPERSEDE";
        break;
    case FILE_OPEN:
        szRet = L"FILE_OPEN";
        break;
    case FILE_CREATE:
        szRet = L"FILE_CREATE";
        break;
    case FILE_OPEN_IF:
        szRet = L"FILE_OPEN_IF";
        break;
    case FILE_OVERWRITE:
        szRet = L"FILE_OVERWRITE";
        break;
    case FILE_OVERWRITE_IF:
        szRet = L"FILE_OVERWRITE_IF";
        break;
    default:
        szRet = L"Error Disposition";
        break;
    }

    return szRet;
}

EXTERN_C static const WCHAR* TestGetIoStatusInformationName(ULONG ulInformation)
{
    /*
#define FILE_SUPERSEDED                 0x00000000
#define FILE_OPENED                     0x00000001
#define FILE_CREATED                    0x00000002
#define FILE_OVERWRITTEN                0x00000003
#define FILE_EXISTS                     0x00000004
#define FILE_DOES_NOT_EXIST             0x00000005
    */
    WCHAR const *szRet = nullptr;

    switch (ulInformation)
    {
    case FILE_SUPERSEDED:
        szRet = L"FILE_SUPERSEDED";
        break;
    case FILE_OPENED:
        szRet = L"FILE_OPENED";
        break;
    case FILE_CREATED:
        szRet = L"FILE_CREATED";
        break;
    case FILE_OVERWRITTEN:
        szRet = L"FILE_OVERWRITTEN";
        break;
    case FILE_EXISTS:
        szRet = L"FILE_EXISTS";
        break;
    case FILE_DOES_NOT_EXIST:
        szRet = L"FILE_DOES_NOT_EXIST";
        break;
    default:
        szRet = L"Error IoStatusInformation";
        break;
    }

    return szRet;
}

EXTERN_C static FLT_POSTOP_CALLBACK_STATUS FLTAPI
TestPostCreate(_Inout_ PFLT_CALLBACK_DATA Data,
    _In_ PCFLT_RELATED_OBJECTS FltObjects,
    _In_opt_ PVOID CompletionContext,
    _In_ FLT_POST_OPERATION_FLAGS Flags) 
{
    UNREFERENCED_PARAMETER(CompletionContext);
    UNREFERENCED_PARAMETER(Flags);

    BOOLEAN isDir = FALSE;
    BOOLEAN bNewFile = FALSE;

    if (KeGetCurrentIrql() != PASSIVE_LEVEL) 
    {
        return FLT_POSTOP_FINISHED_PROCESSING;
    }

    auto status = Data->IoStatus.Status;

    if (!NT_SUCCESS(status) || (status == STATUS_REPARSE))
    {
        return FLT_POSTOP_FINISHED_PROCESSING;
    }

    status = FltIsDirectory(FltObjects->FileObject,
        FltObjects->Instance,
        &isDir);

    if (isDir || !NT_SUCCESS(status))
    {
        return FLT_POSTOP_FINISHED_PROCESSING;
    }

    //auto ulOptions = Data->Iopb->Parameters.Create.Options & FILE_VALID_OPTION_FLAGS;
    auto ulDisposition = (Data->Iopb->Parameters.Create.Options & 0xFF000000) >> 24;
    //auto DesiredAccess = Data->Iopb->Parameters.Create.SecurityContext->DesiredAccess;
    //auto Attributes = Data->Iopb->Parameters.Create.FileAttributes;
    
    PFLT_FILE_NAME_INFORMATION fileNameInformation = nullptr;

    status = FltGetFileNameInformationUnsafe(
        FltObjects->FileObject, FltObjects->Instance, FLT_FILE_NAME_NORMALIZED,
        &fileNameInformation);
    if (!NT_SUCCESS(status)) 
    {
        return FLT_POSTOP_FINISHED_PROCESSING;
    }

    status = FltParseFileNameInformation(fileNameInformation);
    if (!NT_SUCCESS(status)) {
        FltReleaseFileNameInformation(fileNameInformation);
        return FLT_POSTOP_FINISHED_PROCESSING;
    }

    if (Data->IoStatus.Information == FILE_CREATED || Data->IoStatus.Information == FILE_SUPERSEDED)
        bNewFile = TRUE;

    if (bNewFile)
        DPRINT("New File:%wZ,%ws,%ws\n", &fileNameInformation->Name, TestGetIoStatusInformationName(Data->IoStatus.Information), TestGetDispositionName(ulDisposition));
    else
        DPRINT("Open File:%wZ,%ws,%ws\n", &fileNameInformation->Name, TestGetIoStatusInformationName(Data->IoStatus.Information), TestGetDispositionName(ulDisposition));

    FltReleaseFileNameInformation(fileNameInformation);

    return FLT_POSTOP_FINISHED_PROCESSING;
}

EXTERN_C static FLT_PREOP_CALLBACK_STATUS FLTAPI TestPreCreate(
    _Inout_ PFLT_CALLBACK_DATA Data, _In_ PCFLT_RELATED_OBJECTS FltObjects,
    _Outptr_result_maybenull_ PVOID *CompletionContext) 
{
    UNREFERENCED_PARAMETER(CompletionContext);

    ULONG_PTR stackLow;
    ULONG_PTR stackHigh;
    PFILE_OBJECT FileObject = Data->Iopb->TargetFileObject;

    if (KeGetCurrentIrql() != PASSIVE_LEVEL) {
        return FLT_PREOP_SUCCESS_NO_CALLBACK;
    }

    IoGetStackLimits(&stackLow, &stackHigh);

    if (((ULONG_PTR)FileObject > stackLow) &&
        ((ULONG_PTR)FileObject < stackHigh)) {

        return FLT_PREOP_SUCCESS_NO_CALLBACK;
    }

    if (FlagOn(Data->Iopb->Parameters.Create.Options, FILE_DIRECTORY_FILE)) {

        return FLT_PREOP_SUCCESS_NO_CALLBACK;
    }

    if (FlagOn(Data->Iopb->OperationFlags, SL_OPEN_TARGET_DIRECTORY)) {

        return FLT_PREOP_SUCCESS_NO_CALLBACK;
    }

    if (FlagOn(Data->Iopb->OperationFlags, SL_OPEN_PAGING_FILE)) {

        return FLT_PREOP_SUCCESS_NO_CALLBACK;
    }

    if (FlagOn(FltObjects->FileObject->Flags, FO_VOLUME_OPEN)) {

        return FLT_PREOP_SUCCESS_NO_CALLBACK;
    }

    return FLT_PREOP_SYNCHRONIZE;
}

EXTERN_C static VOID TestThread(
    _In_ PVOID StartContext
)
{
    HANDLE file_handle = NULL;
    NTSTATUS status;
    IO_STATUS_BLOCK io_status;
    OBJECT_ATTRIBUTES object_attributes;
    UNICODE_STRING ufile_name = { 0 };
    ULONG ulCreateDisposition = FILE_OPEN_IF;

    for (size_t i = 0; i < sizeof(g_szTestFileName) / sizeof(WCHAR*); i++)
    {
        RtlInitUnicodeString(&ufile_name, g_szTestFileName[i]);

        if (i == 0)
            ulCreateDisposition = FILE_OPEN_IF;

        if (i == 1)
            ulCreateDisposition = FILE_OVERWRITE_IF;

        if (i == 2)
            ulCreateDisposition = FILE_SUPERSEDE;

        InitializeObjectAttributes(&object_attributes, &ufile_name, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, NULL);

        status = ZwCreateFile(

            &file_handle,

            GENERIC_READ | GENERIC_WRITE,

            &object_attributes,

            &io_status,

            NULL,

            FILE_ATTRIBUTE_NORMAL,

            FILE_SHARE_READ,

            ulCreateDisposition,

            FILE_NON_DIRECTORY_FILE | FILE_RANDOM_ACCESS | FILE_SYNCHRONOUS_IO_NONALERT,

            NULL,

            0

        );

        if (status == STATUS_SUCCESS) {

            DPRINT("file create success %wZ\n", &ufile_name);
            ZwClose(file_handle);
        }

        else {

            DPRINT("file create failed %wZ 0x%x\n", &ufile_name, status);

        }
    }

    PsTerminateSystemThread(STATUS_SUCCESS);
}

EXTERN_C static VOID PostDriverEntry(
    _In_ struct _DRIVER_OBJECT *DriverObject,
    _In_opt_ PVOID Context,
    _In_ ULONG Count
)
{
    HANDLE hThread = NULL;

    PsCreateSystemThread(&hThread, THREAD_ALL_ACCESS, NULL, NULL, NULL, TestThread, NULL);

    if (hThread)
        ZwClose(hThread);
}

EXTERN_C NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT DriverObject,
    _In_ PUNICODE_STRING RegistryPath) 
{
    const FLT_OPERATION_REGISTRATION fltCallbacks[] = {
        {
            IRP_MJ_CREATE, FLTFL_OPERATION_REGISTRATION_SKIP_PAGING_IO, 
            TestPreCreate,
            TestPostCreate,
        },
        {IRP_MJ_OPERATION_END} };

    const FLT_REGISTRATION filterRegistration = {
        sizeof(filterRegistration),  //  Size
        FLT_REGISTRATION_VERSION,    //  Version
        0,                           //  Flags
        nullptr,                     //  Context
        fltCallbacks,                //  Operation callbacks
        TestUnload,                 //  FilterUnload
        nullptr,                     //  InstanceSetup
        nullptr,                     //  InstanceQueryTeardown
        nullptr,                     //  InstanceTeardownStart
        nullptr,                     //  InstanceTeardownComplete
        nullptr,                     //  GenerateFileName
        nullptr,                     //  GenerateDestinationFileName
        nullptr,                     //  NormalizeNameComponent
    };

    PAGED_CODE();
    UNREFERENCED_PARAMETER(RegistryPath);

    // Register and start a mini filter driver
    auto status = FltRegisterFilter(DriverObject, &filterRegistration,
        &g_FilterHandle);

    if (!NT_SUCCESS(status)) 
    {
        DPRINT("flt register: 0x%x\n", status);
        return status;
    }

    status = FltStartFiltering(g_FilterHandle);
    if (!NT_SUCCESS(status)) 
    {
        FltUnregisterFilter(g_FilterHandle);
        DPRINT("flt start: 0x%x\n", status);
        return status;
    }

    DPRINT("flt start installed.\n");

    IoRegisterDriverReinitialization(DriverObject, PostDriverEntry, NULL);

    return status;
}

zhuhuibeishadiao
关注
专栏目录
windows内科安全与驱动开发,minifilter禁止txt文件打开demo
08-13
《寒江独钓 Windows内核安全编程》的miniflter简单介绍和使用,Minifilter驱动文件,用Minifilter.inf安装 UseMinifilter,应用层 Minifilter_dll ,应用层(客户程序和驱动层通信)
文件系统Minifilter驱动(二)
听风
03-02 1万+
二、Filter管理器模型的优势Filter管理器模型在现有的legacy过滤驱动模型之上提供了以下优势: l 比filter加载顺序更易控制. 不像legacy过滤驱动,一个minifilter驱动可以在任何时候被加载且因其altitude被绑定到合适的位置。l 在系统运行期间的卸载能力. 不像在系统运行期间不能被卸载的legacy过滤驱动,minifilter驱动能在任意时间被
minifilter框架监控文件创建框架
Cosmopolitan的博客
09-20 1451
#include <fltKernel.h> #include <dontuse.h> #include <suppress.h> #pragma prefast(disable:__WARNING_ENCODE_MEMBER_FUNCTION_POINTER, "Not valid for kernel mode drivers") PFLT_FILT...
MINIFILTER实现文件重定向之从分析到实现
weixin_34249678的博客
08-01 873
本次实验的测试环境为Windows Server 2008 R2 X64下。 为了解决例如系统关键目录或者业务敏感目录被放入恶意的可执行程序或者网页文件等,一些安全软件会使用文件过滤驱动的技术结合一定的检测规则来达到保护系统和业务安全的一些目的。 简单地来看下Minifilter技术的介绍: Filter管理器随Windows一起被安装,但它只在一个...
Minifilter过滤,功能实现对驱动目录的监控,包括创建,重命名,删除并实现hips
热门推荐
zhuhuibeishadiao
05-02 1万+
注意下:我的这套过滤只能用在nt6系统上 原因是使用一个nt6上才有的函数 见函数 PsGetProcessFullName 其实没必要自己来写获取全路径 因为minifilter已经给我们提供了获取全路径的函数 FltGetFileNameInformation 我就不改了,哈哈 说说遇到的问题吧 在监控创建的时候,我在卸载post中的,我拒绝后,在弹窗,2-3
Minifilter
qq_41490873的博客
09-17 1507
Minifilter特点 在Minifilter框架中,不在需要自己去写代码生成设备,去绑定卷.这些框架已经做好了.唯一需要我们做的就是在Callback中处理我们感兴趣的回调函数而已. 创建文件 使用FltCreateFile 不能再使用ZwCreateFile 通信方式 在minifilter中改为通过端口通信. 驱动加载 使用inf文件安装 然后使用命令net start +驱动名 或者使用代码的方式加载,与NT驱动不同的是,需要增两个注册表键值. Minifilter的注册 CONST FLT_
Minifilter笔记
kernweak的博客
06-05 2989
Minfilter与legacy filter区别 比sfilter加载顺序更易控制. altitude被绑定到合适的位置。 Minfilter在注册表服务项中有一项Altitude值 此值越高位置越靠前 (待考证 每一个minifilter驱动必须有一个叫做altitude的唯一标识符.一个minifilter驱动的altitude定义了它加载时在I/O栈中相对其他minifilter驱动...
SFilter框架理解
zhuhuibeishadiao
04-18 8119
控制设备(接受我们自己的客服端)----过滤设备(接受别的进程的IRP) IRP栈每层对应的设备不同   绑定后返回的:最顶层的设备 看图 为什么返回最顶层,当我们的设备处理好后要发给下面的 而下面的第一个就是最顶层的设备 看图理解 过滤 分层驱动中再加一层而不影响它的上下层,以过滤它们之间的数据,对数据或行为进行安全控制。过滤是通过设备绑定实现的。 图:
MiniFilter 项目总结
imaginationA的博客
04-11 1258
MiniFilter 项目总结 文章目录MiniFilter 项目总结WhyWhat什么是驱动什么是过滤驱动实现流程注册并启动过滤驱动(FltRegisterFilter)前过滤函数后过滤函数其他解释提示附录 Why &enmp;&enmp;初次开发驱动项目,谨以记录不堪的开发经历,推荐驱动书籍谭文 陈铭霖的《Windows内核安全和驱动开发》,张帆 史彩成的《驱动开发技术详解》。慢慢摸索着驱动开发项目,就像一个婴儿探索世界一样,需要一点勇气和毅力。 What   MiniFilter这个项
Minifilter: Windows 文件系统过滤驱动的轻量级解决方案
最新发布
gitblog_00074的博客
04-21 506
Minifilter: Windows 文件系统过滤驱动的轻量级解决方案 Minifilter参考《Windows内核安全与驱动开发》的透明加密解密Minifilter项目地址:https://gitcode.com/gh_mirrors/mi/Minifilter 项目简介 是一个开源项目,它提供了一种简单的方法来创建Windows文件系统的过滤驱动程序。作为一个低级别的系统组件,Minifi...
基于微过滤器MinifilterMiniSpy源码文件过滤驱动
10-30
基于文件过滤驱动中minifilter过滤驱动框架开发,可以记录文件所有的操作,保存创建、重命名等,监控所有的I/O操作,包括驱动程序和用户端应用程序源码,对文件系统过滤有很大参考价值。
minifilter_vs2019minifilter_vs2019minifilter_minifilter_minifilt
10-01
标题中的"minifilter_vs2019minifilter_vs2019minifilter_minifilter_minifilt"暗示了我们正在讨论一个与Visual Studio 2019相关的项目,该项目专注于开发Minifilter驱动程序。Minifilter驱动是Windows操作系统内核...
minifilter源码
01-22
资源中的是微软minifilter的原始代码,结构精简,学过滤驱动的朋友们可以参考下。相关文章在http://blog.csdn.net/arvon2012/article/details/7926366
minifilter 文件透明加密源码
08-05
基于minifilter框架下的透明加解密源码。 1 手工加载时自动增加system,explorer.exe,notepad.exe为监控进程
Minifilter微过滤框架:框架介绍以及驱动层和应用层的通讯
扣的CODE
08-30 8540
minifilter是sfilter后微软推出的过滤驱动框架。相比于sfilter,他更容易使用,需要程序员做的编码更简洁。系统为minifilter专门制作了一个过滤管理器,这个管理器本身其实是一个传统过滤驱动,它向minifilter的使用者提供许多接口,让原本复杂的文件过滤驱动变得方便简单。之所以简单是因为传统的过滤驱动把大量的工作放在绑定设备上,而现在这些工作都交给minifilter中的
Minfilter过滤框架
Masimaro的专栏
10-23 2440
Minfilter过滤框架优势与传统的Sfilter过滤驱动相比,有这样几个优势 1. Minfilter加载顺序更易控制,Sfilter加载是随意的,也就是说它在IO设备栈上的顺序是根据其创建的顺序决定的,越晚创建的,越排在设备栈的顶部,而Minfilter根据它的一个全局变量——altitude规定了它在设备栈上的顺序 2. 具有可卸载能力,一般的hook或者过滤框架在卸载时可能仍然有程序在
Minifilter知识总结
weixin_34221775的博客
05-07 461
Minifilter注重功能实现,不注重更深层的IRP之类的操控 编写Minifilter的第一件事是向过滤器宣告我们的微过滤器的存在。这里所谓的微过滤器是符合过滤器标准的过滤组件,它其实是一组回调函数,这组回调函数向过滤管理器注册之后,在合适的时机(比如,要求的文件操作发生时)过滤管理器就会以合适的方式来调用某个回调函数。 如果我们编写这个回调函数中的内容,就可以对文件系统加以过滤了。这比花很...
Minifilter文件系统过滤框架
zyorz的博客
05-11 1690
原理正常的IRP流程是R3 API调用时,会将请求封装成一个IRP经过IO管理器到达文件系统,然后在发往磁盘存储系统,最后到达硬件。使用MiniFilter后会在IO栈中添加MiniFilter管理器。当IRP到达文件系统之前时,首先会被该管理器拦截。管理器会将IRP封装成CALLBACK_DATA,由管理器中存在的多个minifilter驱动依次处理。这些驱动位置是固定的,位置由altitude属
Windows内核模式开发笔记
leehq的专栏
02-02 2443
* 通过 NTSTATUS 获得相应的字符串     使用函数RtlNtStatusToDosError可以获得与NTSTATUS相对应的Windows错误码。     微软网站上说用API函数 FormatMessage 可获得相应的字符串,但是在调用前必须先用 LoadLibrary 载入 "NTDLL.DLL"。     文章链接 - http://support.microsoft.
minifilter 下载
09-11
Minifilter是Windows操作系统中的一个内核模块,它可以对文件系统I/O操作进行监控和过滤,提供一定程度的文件系统访问控制和文件操作的修改能力。minifilter可以在文件系统级别实现对文件的读写访问控制、文件内容加密、文件过滤等功能。 minifilter的下载通常分为两个步骤:首先需要下载Windows Driver Kit(WDK)或Windows SDK,以获取minifilter开发所需的工具和库文件;其次,可以根据自己的具体需求编写或下载现有的minifilter源代码。 WDK或Windows SDK是微软提供的一套开发工具,它包含了开发Windows驱动程序所需的一系列工具、示例代码、库文件和文档等,可以用于minifilter开发及其他相关驱动程序的开发。 一般来说,在微软官网上可以找到WDK或Windows SDK的下载链接,用户可以根据自己的操作系统版本和开发环境选择合适的版本进行下载安装。安装完成后,用户可以在Windows开发环境中配置相应的环境变量,然后就可以使用WDK或Windows SDK提供的工具和库文件进行minifilter开发。 另外,也可以通过搜索引擎或开源社区等途径,找到已经编写好的minifilter源代码,并根据需要进行下载和修改。这种方式适用于一些常见的minifilter功能,如文件加密、病毒扫描等,可以节省开发时间和工作量。 总之,minifilter的下载需要获取Windows Driver Kit或Windows SDK,然后可以通过官方渠道或开源社区获取minifilter的源代码,以进行开发和定制。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值