Minifilter 拦截FileMapping IO事件

最新推荐文章于 2022-07-29 09:06:08 发布
最新推荐文章于 2022-07-29 09:06:08 发布
阅读量2.9k 收藏 5
点赞数
分类专栏: Windows驱动开发 文章标签: 内核 驱动 minifilter IO FILEMAPPING
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zj510/article/details/85059638
版权
本文探讨了Windows操作系统中Minifilter如何拦截FileMapping IO事件,解析了FileMapping的不同行为,如可能遇到的延迟写入和系统进程调用情况。强调了在使用FileMapping时调用FlushFileBuffers的重要性,以防止数据丢失。总结指出,无论是常规IO还是FileMapping,IRP事件总是存在的,只是FileMapping的时机可能不固定。
摘要由CSDN通过智能技术生成

Minifilter 拦截FileMapping IO事件

IO类型

在Windows上一般常见的两种IO:

  1. 普通IO, 如通过ReadFile,WriteFile等Windows API进行读写
  2. FileMapping,通过CreateFile打开一个文件,然后通过CreateFileMapping创建FileMapping对象,通过MapViewOfFile映射,之后就像操作内存一样(memcpy, strcpy等等),这些数据的变更会被操作系统同步到对应的文件上。

Minifilter拦截

针对IO类型的(1),其实,绝大多数人都会在minifilter中拦截,因为很简单,只需要拦截IRP_MJ_WRITE/IRP_MJ_READ就可以了。如下。

    { IRP_MJ_WRITE,
        0,
        PreWrite,
	PostWrite }

每当应用程序调用WriteFile的时候,这两个函数都会进来,然后里面可以做一些过滤,阻断,加密等等。
但是对于(2),FileMapping,可能会有一些迷惑。

FileMapping拦截

比如应用程序这样写文件:

void TestIOFileMapping() {
    HANDLE  hFile;

    hFile = CreateFile(L"testfilemapping.foo",
        GENERIC_READ | GENERIC_WRITE, FILE_SHAR
最低0.47元/天 解锁文章
zj510
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
文件系统驱动开发心得
leehq的专栏
03-05 2870
 * 打开文件系统对象的特殊方式    文件系统驱动接收到IRP请求IRP_MJ_CREATE时,如果IrpSp->Flags指定了SL_OPEN_TARGET_DIRECTORY,则表示并不是真的要打开指定的文件系统对象,而是要检查对象是否可以删除已经它所在的目录是否可以进行创建操作。 通常这样的请求会发生在重命名文件系统对象之前。 * 文件系统驱动处理相对路径    处理IRP_M
miniFilter 拦截与通讯实例
06-01
基于vs2012 wdk8.1 minifilter拦截文件操作并与R3层通信
拦截Minifilter与应用层通信的FltMessage
Sven的忘却日记
07-29 629
关于如何拦截Minifilter和应用层之间的通信消息,Hook FltMessage的两种方式
minifilter
敟當柒秒哋魚
12-20 3263
minifilter透明加解密源码 http://bbs3.driverdevelop.com/read.php?tid=119736 http://bbs3.driverdevelop.com/read.php?tid=111662 http://bbs3.driverdevelop.com/read.php?tid=110838 http://bbs3.driverdevelo
【windows内核驱动开发】文件系统微过滤驱动Minifilter——获取进程信息
zcr214的博客
11-28 2317
【我的】文件系统微过滤驱动Minifilter——获取进程信息 作者:zcr214 时间:2016/4/22   在编写文件系统微过滤驱动minifilter的时候,除了绑定指定的磁盘分卷,对于指定的文件很可能还会有指定的应用程序,例如txt文件可以有很多编辑器可以使用,如wordpad,notepad,sublime,vim,notepad+等,doc文档可以使用office word或W
Win64 驱动内核编程-17. MINIFILTER(文件保护)
热门推荐
天使也掉毛
03-18 1万+
MINIFILTER(文件保护)     使用 HOOK 来监控文件操作的方法有很多,可以在 SSDT 上 HOOK 一堆和 FILE 有关的函数,也可以对 FSD 进行 IRP HOOK,不过这些方法既不方便,也不安全。微软推荐的文件操作过滤方法是使用过滤驱动,在 VISTA 之后,推荐使用 MINIFILTER (字面翻译是迷你过滤器)。MINIFILTER 基于标准的文件过滤驱动,但是微软
CDO-File-System-Minifilter-Driver.zip_minifilter
09-20
总的来说,CDO File System Minifilter Driver代表了一个用于拦截和控制文件系统操作的定制化解决方案。它利用Filter Manager的强大功能,实现了对系统文件操作的精细控制,可能被用于各种系统管理和安全应用。不过...
minifilter 文件透明加密源码
08-05
基于minifilter框架下的透明加解密源码。 1 手工加载时自动增加system,explorer.exe,notepad.exe为监控进程
minifilter源码
01-22
资源中的是微软minifilter的原始代码,结构精简,学过滤驱动的朋友们可以参考下。相关文章在http://blog.csdn.net/arvon2012/article/details/7926366
fastfat-File-System-Driver.rar_fastfat_minifilter
09-20
其中,Fastfat Minifilter驱动程序是一款针对FAT(File Allocation Table)文件系统的过滤驱动,它是微软Windows操作系统中用于增强文件系统功能的一种技术。本文将深入探讨Fastfat Minifilter的原理、设计及其实现...
国内首家采用MS全新 MiniFilter架构的SEFS透明加密内核 V 2.0.0.1发布
07-25
软件名称:SEFS透明加密内核 V 2.0.0.1软件版本:2.0.0.1建议分类:系统安全/文件加密软件大小:371K安装平台:Win2000 sp4+urp / xp sp2 / 2003 sp1 / vista软件语言:简体中文/繁体中文/英文软件授权:共享软件软件主页:http://www.sefs.net支持邮箱:admin@sefs.net软件下载:http://www.sefs.net/setup.rar国内首家采用MS全新 MiniFilter架构的SEFS透明加密内核 V 2.0.0.1发布1、简述 SEFS透明加密开发内核是基于MS最新的IFS文件过滤驱动MiniFilter)开发的透明加密平台。加密标识内置于文件本身、可支持PKCS7电子 信封、加密算法可在内核态。也可在应用层,支持MS CSP 标准,可实现对加密硬件如USBKEY的支持。加、解密操作均受保护 的内存区域完成,高效安全。不会产生临时文件,同时配套保护驱动可防止进程注入、内存Dump、和截屏操作,全程保护您的 机密资料。2、特点   1、强制加密:客户端指定规则或匹配规则产生的任意文件均强制加密。所有的“文件另存”均为加密。不管是 怎么样的文件名称。SEFS是智能识别应用程序的行为.  2、文件加密标记识别采用指纹智能识别技术,加密标记植于文件本身,支持电子信封模式(PKCS7)和支持   身份/身份组机制.方便交流和传输。  3、SEFS平台工作于文件系统驱动层面,可以支持内存映射文件的方式.而非一些基于API Hook方式的加密系   统绝对无法支持内存映射文件。例如最常见的notepad(记事本)/另外可执行文件的加载执行均是通过内存   映射文件的方式.  4、进程识别基于特征值,而非简单的基于进程名称判断。可防止进程改名、加壳等形式的攻击。  5、非授权进程无法读取密文。网络间受控文件的传输为密文。FoxMail、OutLook或Ftp客户端等网络软件无法发送 明文。(假设其为非授权进程的话) 6、完美解决明文缓存问题,即便是密文正在被打开,也不能非法夺取明文 7、使用全新的MiniFilter架构,同杀毒软件有较好的兼容性,同时在性能和稳定性方面,较老的IFS过滤驱动 有着明显的提升。 8、支持应用层的加、解密算法和引擎。可兼容MS CSP 、PKCS11 等标准,从而实现硬件的加解密。满足不同的安全级别的要求。3、安装环境 客户端:Win2000 sp4 + URP /XP sp2/2003 sp1 / Vista Win2000需要Update Rollup Pack (URP) 下载:http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=B54730CF-8850-4531-B52B-BF28B324C6624、支持的软件: 1. 办公类: Microsoft Office 2000/XP/2003 、 Adobe acrobat7 、NotePad、 WordPad。 2. 图像类: Photoshop 、 CorelDraw12 、 Mspaint画图等 3. 设计类: AutoCAD 2004 、圆方BtoCAD、等 4. ...................SEFS--透明加密内核=============================================商业授权:sales@sefs.netBug 报告:bug@sefs.net
minifilter_内核通信_DEMO_minifilter_
10-02
相比于传统的File System Filter Driver(FsFilter),Minifilter具有更好的性能和稳定性。 2. **内核通信**:在Windows系统中,内核模式的驱动程序需要与用户模式的应用程序交互,这通常通过多种方法实现,如IRP...
基于微过滤器MinifilterMiniSpy源码文件过滤驱动
10-30
微过滤器(Minifilter)是微软在Windows操作系统中引入的一种新型文件系统过滤驱动模型,它是File System Filter Manager的一部分,旨在替代传统的文件系统挂钩(FSDH)。与FSDH相比,Minifilter提供了一种更加稳定...
文件夹保护_minifilter_文件夹保护_
09-29
Minifilter驱动是I/O过滤驱动的一种,它在Vista及更高版本的Windows系统中引入,作为传统文件系统过滤驱动File System Filter Driver,即filter driver)的替代。与full-fledged filter driver相比,minifilter...
MiniFilter进程运行监控
02-26
MiniFilter进程运行监控是一种利用微软Windows操作系统中的微文件过滤框架(Minifilter)技术来实现对文件系统操作的深度监控和保护的程序。这个程序的主要功能包括备份被其他进程删除的文件以及对注册表活动进行...
内核驱动Minifilter实现文件拒绝访问
C0ldstudy的博客
06-04 4877
基于Minifilter的小小拓展
createfile调用失败_CreateFileMapping调用失败,GetLastError返回值为1006
weixin_39877581的博客
01-26 924
今天在创建文件映射对象时出错,返回值为1008(“文件所在的卷已被外部改变,因此打开的文件不再有效。 ”),代码如下:CFile file(_T("C:/test.dat"), CFile::modeCreate | CFile::modeReadWrite | CFile::typeBinary);ASSERT(file.m_hFile != CFile::hFileNull);HANDLE h...
minifilter_文件读写
tianyu的专栏 - Linux site:blog.csdn.net/wishfly
09-06 441
1.基于文件系统过滤驱动的透明加解密技术实现 https://www.ixueshu.com/document/eeb6eaafe2801068318947a18e7f9386.html#pdfpreview 过滤读操作 在透明解密过滤读的过程中 ,可以考虑过滤所有的读请求 ,包括缓冲读、分页读、非缓冲读 ,但由于W indows自身的机制可能会遇到一系列的副作用 ,造成系统的不稳定. ...
基于Minifilter框架的双缓冲透明加解密驱动 课程论文+项目源码
毕业作品网站
06-25 1239
6.解决 FileRenameInformationEx 和 FileRenameInformation 问题,因此可以自动加密解密 docx,doc,pptx,ppt,xlsx,xls 等使用 tmp 文件重命名方式读写的文件;因为之前写过一个 minifilter 的透明加密解密驱动,但当时水平确实有限, 有很多的问题,没有找到原因,只是进行了规避,导致在错误的基础上又产生了错误,所以在之前项目开发经验的基础上,写了这个项目。项目->属性的 VC++目录的包含目录,库目录设置相应的位置。
minifilter 下载
最新发布
09-11
Minifilter是Windows操作系统中的一个内核模块,它可以对文件系统I/O操作进行监控和过滤,提供一定程度的文件系统访问控制和文件操作的修改能力。minifilter可以在文件系统级别实现对文件的读写访问控制、文件内容加密、文件过滤等功能。 minifilter的下载通常分为两个步骤:首先需要下载Windows Driver Kit(WDK)或Windows SDK,以获取minifilter开发所需的工具和库文件;其次,可以根据自己的具体需求编写或下载现有的minifilter源代码。 WDK或Windows SDK是微软提供的一套开发工具,它包含了开发Windows驱动程序所需的一系列工具、示例代码、库文件和文档等,可以用于minifilter开发及其他相关驱动程序的开发。 一般来说,在微软官网上可以找到WDK或Windows SDK的下载链接,用户可以根据自己的操作系统版本和开发环境选择合适的版本进行下载安装。安装完成后,用户可以在Windows开发环境中配置相应的环境变量,然后就可以使用WDK或Windows SDK提供的工具和库文件进行minifilter开发。 另外,也可以通过搜索引擎或开源社区等途径,找到已经编写好的minifilter源代码,并根据需要进行下载和修改。这种方式适用于一些常见的minifilter功能,如文件加密、病毒扫描等,可以节省开发时间和工作量。 总之,minifilter的下载需要获取Windows Driver Kit或Windows SDK,然后可以通过官方渠道或开源社区获取minifilter的源代码,以进行开发和定制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值