如何在Minifilter驱动的IRP中获取操作文件路径?

最新推荐文章于 2024-06-09 12:33:49 发布
最新推荐文章于 2024-06-09 12:33:49 发布
阅读量4.6k 收藏 6
点赞数 3
分类专栏: Windows驱动开发 文章标签: minifilter 驱动 paging io 获取路径
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zj510/article/details/85111391
版权

如何在IRP中获取操作的文件路径?

文件路径

在minifilter中,主要处理的是各种IRP,做DLP也好,做加解密也好。文件路径总是绕不开的。比如在IRP_MJ_WRITE中,绝大多数情况都得知道当前这次操作的文件路径。

普通办法

Minifilter框架有个函数:FltGetFileNameInformation
这个函数可以用来获取文件路径,比如下面是段常用的获取文件路径的代码

UNICODE_STRING ExtractFileName(_In_ PFLT_CALLBACK_DATA Data)
{
	NTSTATUS status;
	UNICODE_STRING ret = { 0 };

    KIRQL irql = KeGetCurrentIrql();
    if (irql > APC_LEVEL) {
        PT_DBG_PRINT(PTDBG_TRACE_ROUTINES,
            ("OOOOOOOOOOOOOOPS, IRQL > APC_LEVEL, Can't call FltGetFileNameInformation. current irql: %d\n", irql));
        return ret;
    }

	if (Data)
	{
		PFLT_FILE_NAME_INFORMATION  pNameInfo = NULL;

		status = FltGetFileNameInformation(Data,
			FLT_FILE_NAME_NORMALIZED |
			FLT_FILE_NAME_QUERY_DEFAULT,
			&pNameInfo);                              // <= APC_LEVEL

		if (NT_SUCCESS(status) && pNameInfo)
		{
            status = FltParseFileNameInformation(pNameInfo);
            if (NT_SUCCESS(status))   // <= APC_LEVEL
            {
                Init(&ret, pNameInfo->Name.MaximumLength);
                CopyUnicodeString(&ret, &(pNameInfo->Name));
            }
            else {
                PT_DBG_PRINT(PTDBG_TRACE_ROUTINES,
                    ("Calling FltParseFileNameInformation() failed, err: %d\n", status));
            }

			FltReleaseFileNameInformation(pNameInfo);  // <= APC_LEVEL
		}
	}

	return ret;
}

ok,那么这么就完了吗?对于普通WRITE请求,确实可以。比如WriteFile触发的IRP.
但是如何是FileMapping,你就会发现FltGetFileNameInformation会失败。
查一下msdn就会发现:
在这里插入图片描述
其中有一条,FileGetNameInformation cannot get file name information in the paging I/O path.
好,FileMapping就是paging IO, 所以失败。

如何获取FileMapping操作在IRP_MJ_WRITE等IRP中的文件路径呢?

既然直接获取不到,那么就曲线救国呗。
一般FileMapping的写法如下:

void TestIOFileMapping() {
    HANDLE  hFile;
    hFile = CreateFile(L"testfilemapping.foo",
        GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ | FILE_SHARE_WRITE,
        NULL,
        OPEN_ALWAYS,
        FILE_ATTRIBUTE_NORMAL,
        NULL);

    if (hFile == INVALID_HANDLE_VALUE)
    {
        return;
    }

    HANDLE hMapping = CreateFileMapping(hFile,
        NULL,
        PAGE_READWRITE,
        0,
        MAX_FILESIZE,
        NULL);

    if (hMapping == NULL)
    {
        CloseHandle(hFile);
        return;
    }

    char* puchData = (char*)MapViewOfFile(hMapping,
        FILE_MAP_WRITE,
        0,
        0,
        0);

    if (puchData == NULL)
    {
        CloseHandle(hMapping);
        CloseHandle(hFile);
        return;
    }

    for (int i = 0; i < 10; i++)
    {
        OutputDebugStringW(L"Try to write data with memset()");
        memset(puchData + i * 1024, 0x41 + i, 1024);
    }

    UnmapViewOfFile(puchData);

//    FlushFileBuffers(hFile);
    CloseHandle(hMapping);
    CloseHandle(hFile);
}
最低0.47元/天 解锁文章
zj510
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
minifilter_文件头读写
tianyu的专栏 - Linux site:blog.csdn.net/wishfly
06-24 324
0. github https://github.com/comor86/MyMiniEncrypt https://github.com/Dsilent/MyminiEncryptDriver https://github.com/yangruiqiyr/minicrypt/tree/master/encryptminifilter 1.文件头读写 - -- 驱动开发历程.pdf...
Minifilter过滤,功能实现对驱动目录的监控,包括创建,重命名,删除并实现hips
热门推荐
zhuhuibeishadiao
05-02 1万+
注意下:我的这套过滤只能用在nt6系统上 原因是使用一个nt6上才有的函数 见函数 PsGetProcessFullName 其实没必要自己来写获取路径 因为minifilter已经给我们提供了获取路径的函数 FltGetFileNameInformation 我就不改了,哈哈 说说遇到的问题吧 在监控创建的候,我在卸载post的,我拒绝后,在弹窗,2-3
MiniFilter进程运行监控
02-26
MiniFilter文件过滤框架监控程序产生的文件,备份被程序删除的文件,同进行注册表监控。VS2008+WinDDK7600编译。
驱动学习---IRP_MJ_READ与IRP_MJ_WRITE
最新发布
weixin_41693985的博客
06-09 134
【代码】驱动学习---IRP_MJ_READ与IRP_MJ_WRITE。
Windows驱动开发学习记录-驱动获取当前驱动文件路径
时空之中的灵魂
08-29 1432
1.背景 学习驱动期间打算做一个驱动,功能需要在驱动启动成功后删除注册表的服务项,关机再自动添加到注册表启动项以便下次能自动加载驱动。一般情况注册表项目如下,其ImagePath为驱动路径。 这个路径是在注册服务写进入注册表里的,在DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegistryPath),可以根据第二个参数pRgisterPath对应项读取注册表的Image...
内核文件管理-IRP(三)文件读写
m0_48995611的博客
01-10 835
本文讲怎样通过向 FSD 发送 IRP_MJ_READ 消息 / IRP_MJ_WRITE 消息的 IRP 来 读/写 文件内容。 上一篇:内核文件管理-IRP(二)文件属性查询和设置 IrpReadFile函数参数 该函数是在 IrpCreateFile函数 打开文件的基础上操作的,用于读取文件。 NTSTATUS IrpReadFile( IN PFILE_OBJECT pFileObject, // 文件句柄 OUT PIO_STATUS_BLOCK IoStatusBlock,
文件,注册表过滤--SfilterMinifilter
05-16 1592
本公众号分享的所有技术仅用于学习交流,请勿用于其他非法活动,如有错漏,欢迎留言交流指正 文件,注册表过滤 分层驱动框架 NT驱动框架:单层驱动,只能接受自己进程的IRP Sifileter驱动框架:多层驱动,接受所有进程的IRP 过滤:分层驱动再加一层而不影响它的上下层,以过滤它们之间的数据,对数据或行为进行安全控制。过滤是通过设备绑定实现的(有多少个文件卷设备就生成多少个文件过滤驱动设备对象一一绑定,这样,发给各个卷设备对象的IRP都会被监控到)。 磁盘过滤驱动:用于文件还原 绑定与..
使用Minifilter过滤驱动保护文件
qq_18811919的博客
09-06 482
用于文件保护的过滤驱动,在红蓝对抗可与EDR对抗。
minifilter可以发送IRP
weixin_33744854的博客
11-24 137
发现在minifilter也可以自己创建IRP向下层发送 ,使用IoBulidDeviceIoctol极为有用, 目前没有发现minifilter有替代IoBulidDeviceIoctl的方法. 转载于:https://blog.51cto.com/laokaddk/114982...
minifilter 驱动开发总结
d2262272d的博客
01-07 737
对于初次涉及驱动开发的朋友,首先说一下下开发前的心理建设,开发的耗一般都很长,过程很繁琐,成就感真的就只有完成整个驱动后的那一会快感。着重说明这是一件单身汉干的事,不要老是想着对象,否则及其容易出问题,找不出来的那种,开玩笑哈,只是说驱动开发过程面向过程的思想比较重。 好了,说正经的,单刀直入就从工程创建说起,零碎的东西就三言两语带过哈! 一般安装vs的候,都不会去吧驱动模块相关的东西...
Windows 安全模型:每个驱动程序作者都需要了解的内容
尘埃落定
08-28 3836
On This Page简介Windows 安全模型安全场景:创建一个文件驱动程序安全责任行动指南和资本文提供关于为 Microsoft Windows 家族操作系统编写安全的内核模式驱动程序的信息。其描述了如何将 Wi
64位驱动开发之读写驱动程序IRP_MJ_READ和IRP_MJ_WRITE的IO
a756598009的博客
06-13 614
读写驱动程序IRP_MJ_READ和IRP_MJ_WRITE的IO请求包(IRP)
串口过滤
svtanto的专栏
11-01 1089
 /* 描述 : 串口过滤 */#include // 过滤设备的设备扩展typedef struct _COM_FILTER_DEV_EXT { // 串口号 USHORT ComId; // 设备栈上位于过滤设备下一层的设备对象,卸载过滤设备用 PDEVICE_OBJECT LowerDeviceObject;} COM_FILTER_DEV_EXT,
基于Minifilter文件过滤驱动以及与应用层通讯(付代码)
C++入门到放弃
11-06 6366
实现应用层与驱动程序通讯,控制驱动程序,发送路径,达到指定目录禁止访问的目的。
Windows内核开发之串口过滤
Geons的花园阳台
04-15 6037
学习了几个月的内核编程,现在对Windows驱动开发又了更加深入的认识,特别是对IRP的分层处理逻辑有了深入认识。 总结起来就几句话: 当irp下来的候,你要根据实际情况,进行处理 1> 无处理,继续往下传 2> 处理之后 ,往下传 3> 处理之后, 往上传 4> 不做处理,直接丢弃 具体怎么理解,通过一个串口驱动过滤就可以深入理解。 一、串口过滤概念 串口过滤:平
创建IRP_MJ_WRITE IRP参数的困惑
一柯的专栏
02-12 3355
调用 IoBuildSynchronousFsdRequest创建major function code 为IRP_MJ_WRITE的IRP,发送给一个卷设备对象去执行,返回错误:0xC000000DL: An invalid parameter was passed to a service or function. 查看MSDN函数文档: IoBuildSync
MiniFilter 学习
zfdyq
06-08 1930
最近学习了一下文件过滤系统,

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值