Windows Minifilter驱动 - DriverEntry (3)

最新推荐文章于 2024-04-21 09:36:33 发布
最新推荐文章于 2024-04-21 09:36:33 发布
阅读量3.2k 收藏 6
点赞数 1
分类专栏: Windows驱动开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zj510/article/details/39368829
版权
DriverEntry作为Windows Minifilter驱动的入口点,负责调用FltRegisterFilter进行驱动注册,并通过FltStartFiltering启动I/O操作过滤。在DriverEntry中,驱动对象和回调函数设置是关键,尤其是预处理和后处理回调,它们在IRP传递前后的不同阶段发挥作用。
摘要由CSDN通过智能技术生成

驱动里面的DriverEntry就相当于main()或者DllMain()函数,这是个入口点。当驱动被加载的时候,DriverEntry会被调用。

VS2013给我们生成的DriverEntry函数如下:

NTSTATUS
DriverEntry (
    _In_ PDRIVER_OBJECT DriverObject,
    _In_ PUNICODE_STRING RegistryPath
    )
/*++

Routine Description:

    This is the initialization routine for this miniFilter driver.  This
    registers with FltMgr and initializes all global data structures.

Arguments:

    DriverObject - Pointer to driver object created by the system to
        represent this driver.

    RegistryPath - Unicode string identifying where the parameters for this
        driver are located in the registry.

Return Value:

    Routine can return non success error codes.

--*/
{
    NTSTATUS status;

    UNREFERENCED_PARAMETER( RegistryPath );

    PT_DBG_PRINT( PTDBG_TRACE_ROUTINES,
                  ("MyMiniFilter!DriverEntry: Entered\n") );

    //
    //  Register with FltMgr to tell it our callback routines
    //

    status = FltRegisterFilter( DriverObject,
                                &FilterRegistration,
                                &gFilterHandle );

    FLT_ASSERT( NT_SUCCESS( status ) );

    if (NT_SUCCESS( status )) {

        //
        //  Start filtering i/o
        //

        status = FltStartFiltering( gFilterHandle );

        if (!NT_SUCCESS( status )) {

            FltUnregisterFilter( gFilterHandle );
        }
    }

    return status;
}

FltRegisterFilter

这是DriverEntry里面需要调用的第一个函数,用来注册当前这个minifilter。下面是SDN上的描述:

翻译一下:

每一个minifilter驱动必须在DriverEntry里面调用FltRegisterFilter来把它自己注册到minifilte

最低0.47元/天 解锁文章
zj510
关注
专栏目录
Windows驱动开发-DriverEntry入门
weixin_42071117的博客
03-23 805
// first.c #include <ntddk.h> VOID DriverUnload(PDRIVER_OBJECT DriverObject) { if (DriverObject != NULL) { DbgPrint("[%ws]Driver upload, Driver Object Address: %p", __FUNCTIONW__, DriverObject); } } NTSTATUS DriverEntry(PDRIVER_OBJECT DriverO
Windows MiniFilter驱动 - Sample(1)
zj510的专栏
09-17 9783
VS2013里面有向导可以直接创建一个
面向Windows的文件透明加解密解决方案(3)——透明加解密驱动程序二
某熊的技术之路
05-31 1万+
3.3关键技术详解 对于用户的文件操作请求,Windows 用户层中对文件的各种操作映射到微过滤驱动中就转化为类型为Create,Read,Write 和Close 等的I/O 操作,因此只要对这些操作的内容进行过滤处理,即可达到透明加解密的目的。首先在IRP_MJ_CREATE 中查询目标文件是否是监控文件类型,创建一个StreamContext 并附着在文件对象上,并在StreamConte
Windows Minifilter驱动 - 调式 (4)
weixin_34248023的博客
10-13 134
写不论什么程序动态调试是很重要的。驱动开发也不例外。 通常如今写驱动的时候,都是在VM上跑的,调试手段基本也是本地windbg + 虚拟机。 虚拟机配置 我用的是win7, 第一步,看以下。成功运行后,会提示: The entry was successfully copied to {xxxxxxxxxxxxxxxxxxx} 第二步: 继续在CMD中输入bcdedi...
windows驱动编程中的入口函数DriverEntry
苞米地里捉小鸡的博客
05-28 1372
1 入口函数的定义 NTSTATUS DriverEntry( IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath ) 这个函数的返回值是一个NTSTATUS类型,这个返回值的宏定义在ntstatus.h这个头文件中 2参数PDRIVER_OBJECT 它代表的是windows中的一个指向驱动对象的指针,前面的P就是Pointer的意思,这个驱动对象对应的就是我们要操作的.sys驱动 这个驱动对象是Wi.
minifilter
敟當柒秒哋魚
12-20 3266
minifilter透明加解密源码 http://bbs3.driverdevelop.com/read.php?tid=119736 http://bbs3.driverdevelop.com/read.php?tid=111662 http://bbs3.driverdevelop.com/read.php?tid=110838 http://bbs3.driverdevelo
Windows Minifilter驱动 - 获取进程ID, 进程名字和线程ID (5)
zj510的专栏
09-22 8432
minifilter里面可能有好几种获取调用进程id,名字和线程的办法。我这里有一种: 使用 PsSetCreateProcessNotifyRoutine 和 PsSetLoadImageNotifyRoutine 这是两个API,我们可以借助它们获取进程信息。具体看:http://msdn.microsoft.com/en-us/library/windows/hardware/
MiniFilter-master_minifilter_nature2j4_源码.zip
10-05
这个"MiniFilter-master_minifilter_nature2j4_源码.zip"压缩包很可能是包含了一个名为"nature2j4"的MiniFilter驱动程序的源代码实现。通过分析和学习这个源码,我们可以深入了解MiniFilter的工作原理和开发过程。 ...
minifilter_vs2019minifilter_vs2019minifilter_minifilter_minifilt
10-01
3. **Filter Registration**:Minifilter驱动需要注册到FltMgr,提供关于自身行为的信息,如过滤层次、过滤类型和回调函数指针。`FltRegisterFilter`函数用于此目的。 4. **Instance Creation**:Minifilter驱动...
miniFilter(所有框架代码以及对应的PPT资料,可以直接拿来进行修改即可完成各种驱动)
07-24
miniFilter(所有框架代码以及对应的PPT资料,可以直接拿来进行修改即可完成各种驱动)
Minifilter: Windows 文件系统过滤驱动的轻量级解决方案
最新发布
gitblog_00074的博客
04-21 507
Minifilter: Windows 文件系统过滤驱动的轻量级解决方案 Minifilter参考《Windows内核安全与驱动开发》的透明加密解密Minifilter项目地址:https://gitcode.com/gh_mirrors/mi/Minifilter 项目简介 是一个开源项目,它提供了一种简单的方法来创建Windows文件系统的过滤驱动程序。作为一个低级别的系统组件,Minifi...
Windbg对过滤驱动DriverEntry函数下断点技巧 【zt】
namelcx的专栏
11-16 1371
Windbg对过滤驱动DriverEntry函数下断点技巧 方法1: 1> 先用DeviceTree.exe查看指定的过滤驱动的Load Address(加载地址) 2> 再用LordPE.EXE查看指定过滤驱动文件的入口点地址 3> 计算过滤驱动DriverEntry函数内存地址 DriverEntry函数内存地址 = Load Address + 入口点地址 例子: 1> Loa
Windows Minifilter驱动 - 加载顺序 (2)
zj510的专栏
09-17 6934
安装minifilter后,可以在注册表看到一些
8.4 Windows驱动开发:文件微过滤驱动入门
热门推荐
CSDN
12-01 1万+
MiniFilter 微过滤驱动是相对于`SFilter`传统过滤驱动而言的,传统文件过滤驱动相对来说较为复杂,且接口不清晰并不符合快速开发的需求,为了解决复杂的开发问题,微过滤驱动就此诞生,微过滤驱动在编写时更简单,多数`IRP`操作都由过滤管理器`(FilterManager或Fltmgr)`所接管,因为有了兼容层,所以在开发中不需要考虑底层`IRP`如何派发,更无需要考虑兼容性问题,用户只需要编写对应的回调函数处理请求即可,这极大的提高了文件过滤驱动的开发效率。
minifilter开发文件过滤驱动、以及syser调试的经验
jykj_007的专栏
05-09 3582
minifilter开发文件过滤驱动、以及syser调试的经验。  刚刚完成一个产品的开发,用了两个月,真不容易,像我这种菜鸟,为了搞清一个常识,得从老谭的那本古董级C程序设计翻起。  首先说驱动教程。 楚狂人谭文的《寒江独钓-Windows内核安全编程》和张帆的《Windows驱动开发技术详解》要反复地读。  我用的是最新的WDK 7600,那个帮助真叫人汗,英文的倒罢了,怎
DriverEntry
LH806732的专栏
04-21 3739
DriverEntry is the first driver-supplied routine that is called after a driver is loaded. It is responsible for initializing the driver.
文件系统Minifilter驱动(一)
听风
03-02 1万+
文件系统Minifilter驱动  声明:本系列文章源于WDK,所有权利归原作者所有,翻译的目的只为交流和学习。除了商用你可以随意地使用这篇译文。但请不要删除声明。                                                     ——by jununfly  说明: 所有preoperation及postoperation
Win64 驱动内核编程-17. MINIFILTER(文件保护)
天使也掉毛
03-18 1万+
MINIFILTER(文件保护)     使用 HOOK 来监控文件操作的方法有很多,可以在 SSDT 上 HOOK 一堆和 FILE 有关的函数,也可以对 FSD 进行 IRP HOOK,不过这些方法既不方便,也不安全。微软推荐的文件操作过滤方法是使用过滤驱动,在 VISTA 之后,推荐使用 MINIFILTER (字面翻译是迷你过滤器)。MINIFILTER 基于标准的文件过滤驱动,但是微软
Windows Filter Manager与Minifilter驱动详解
"本文主要介绍了filter驱动设计,特别是Minifilter驱动的概念,它是Windows系统中用于文件系统过滤的一种机制。Minifilter驱动相比传统的Filter驱动更易于开发,能创建更高质量和灵活的驱动程序。文章内容包括Filter...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值