Sfilter过滤驱动框架

最新推荐文章于 2022-05-16 08:32:29 发布
最新推荐文章于 2022-05-16 08:32:29 发布
阅读量1.4k 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zyorz/article/details/71307316
版权
本文详细介绍了Sfilter过滤驱动框架的工作原理和实现过程,包括如何监控移动设备、文件系统设备以及卷设备对象。通过IoRegisterFsRegistrationChange注册回调函数,实现实时监控设备插入并绑定过滤设备。在IRP分发函数中,针对不同操作如Create、Read、Write、SetInfo、Close制定了相应的过滤规则。此外,还讨论了如何放行特定类型的请求,如内核请求、本进程请求和系统进程请求。文章最后提及了调试过滤驱动的一些命令。
摘要由CSDN通过智能技术生成

原理

Sfilter框架是基于NT驱动框架之上通过设备栈绑定的形式绑定的,驱动自己生成一个设备(过滤设备对象),调用系统提供的绑定API,绑定到目标设备上。并返回一个在未绑定之前目标设备所在设备栈的最顶层设备。这样发往下层的IRP或者发往上层的数据都会被过滤设备截获。

移动设备链接到系统中时系统会为其生成一个文件系统设备,然后系统会向文件系统设备发送mount IRP,文件系统设备接收到IRP后会动态生成卷设备对象【盘符】

如果要监控移动设备卷设备对象,首先要先生成过滤设备对象绑定到移动设备的文件系统设备对象上拦截mount IRP请求,之后在该IRP内生成过滤设备对象绑定到卷设备对象上【两次绑定操作】

IoRegisterFsRegistrationChange函数可注册一个动态监控移动设备对象插入时生成文件系统设备对象的回调函数

关于固定的卷设备对象可直接通过函数一一枚举出来,然后依次生成过滤设备对象绑定上去即可。

实现

函数主流程

首先创建控制设备和符号链接用于与R3客户端通信。然后注册过滤分发函数【内部对客户端IRP和其他进程IRP分开处理】

分配一个Fastio结构体大小的内存,然后对其内部初始化Fastio的操作函数【内部全部返回False,不添加会有问题,只需要简单的禁用处理即可】之后将该结构体注册到DriverObject->FastIoDispatch中。

接下来通过IoRegisterFsRegistrationChange注册监控文件系统设备创建的回调函数。函数内判断设备插入时,生成过滤设备对象绑定到对应的文件系统设备对象上【通过判断系统版本使用绑定函数】用来监控mount IRP【回调函数参1为监控到到文件系统设备对象,参2为bool值表示文件系统是插入还是拔掉。函数内创建的过滤设备对象会和文件

最低0.47元/天 解锁文章
zyorz
关注
Minifilter过滤框架框架介绍以及驱动层和应用层的通讯
tianyu的专栏 - Linux site:blog.csdn.net/wishfly
05-23 661
minifilter是sfilter后微软推出的过滤驱动框架。相比于sfilter,他更容易使用,需要程序员做的编码更简洁。 系统为minifilter专门制作了一个过滤管理器,这个管理器本身其实是一个传统过滤驱动,它向minifilter的使用者提供许多接口,让原本复杂的文件过滤驱动变得方便简单。之所以简单是因为传统的过滤驱动把大量的工作放在绑定设备上,而现在这些工作都交给minifilter中...
SFilter框架理解
zhuhuibeishadiao
04-18 8122
控制设备(接受我们自己的客服端)----过滤设备(接受别的进程的IRP) IRP栈每层对应的设备不同   绑定后返回的:最顶层的设备 看图 为什么返回最顶层,当我们的设备处理好后要发给下面的 而下面的第一个就是最顶层的设备 看图理解 过滤 分层驱动中再加一层而不影响它的上下层,以过滤它们之间的数据,对数据或行为进行安全控制。过滤是通过设备绑定实现的。 图:
windows驱动学习之路——文件系统驱动之SFilter框架
yu5329的博客
11-06 260
一、基本概念 文件系统的设备对象: 像FAT32、NTFS这样的文件系统(FS),主要分成两类设备。 1、首先文件系统驱动本身往往生成一个控制设备(CDO),这个设备的主要任务是修改整个驱动的内部配置。 一般一个文件系统只对应一个CDO。 2、文件系统的卷设备。 这里要先说卷设备,一般一个卷(真正的卷设备)对应一个逻辑盘。 “C:“是设备的符号链接名,而不是真正的设备名。 它对应的设备名为”\De...
Sfilter过滤
kernweak的博客
06-03 877
文件监控技术分为hook,过滤,回调。 文件监控系统就是绑定和过滤,进程的各种操作被封装成一个IRP,再发给驱动的设备对象,驱动的设备对象通过各种分发函数处理操作,过滤就是在设备对象上面再绑定一个新的设备对象,先经过我们的设备对象。在去原来的设备对象。 分层驱动框架过滤 irp从上往下经过不同设备栈,先经过文件过滤驱动设备(由文件过滤驱动创建),文件卷设备(盘符C盘D盘这些),磁盘设备...
sfilter文件驱动(二)--文件的关联
jimk1983的专栏
10-24 445
前面说了关于sFilter的设备的挂载,主要是针对DeviceObject, 通过将驱动创建多个过滤设备,挂载到系统的卷设备上, 系统就会将所有到该卷的IRP操作都重定向到我们的驱动派遣函数中         接着,我们这里要分析关于针对文件的操作了,经过几天的研究,发现了几个有趣的地方,首先了解下大致的流程。 IRP_MJ_CREATE: 创建文件例程 首先,我们操作文件的时候,都要先打开
sfilter
sunhf_my的专栏
05-24 2197
整理自:http://topic.csdn.net/t/20060629/11/4849948.html 好资料如下:     书:Windows   NT   File   System   Internals,IFS   DDK文档。     零碎资料:驱动开发网,OSR(它的新闻组很赞),sysintels.com,以及DDK的源代码。         最后
驱动高手tooflat写的基于sfilter过滤驱动程序
10-24
sfilter是一种轻量级的、用户模式下的过滤驱动框架,它允许开发者在不深入学习内核编程的情况下,实现对文件系统操作的拦截和过滤。 描述中同样强调了是tooflat的工作,意味着这个驱动程序可能具有较高的技术水平和...
文件系统过滤驱动sfilter
sunr.
07-27 1133
标 题: 【分享】整理一份我对Windows文件系统过滤驱动的sFilter工程代码的详细说明 作 者: tianhz 时 间: 2012-06-19,18:32:07 链 接: http://bbs.pediy.com/showthread.php?t=152338 我平时很忙,很少发表主题。我在工作的时候,我身边的很多同事都不停地问我有关Windows文件系统过滤驱动的问题。他...
sfilter开源驱动分析(一)--文件过滤的基本步骤
jimk1983的专栏
10-24 2345
NT的I/O管理器支持分层的驱动程序模式。         当应用层的CreateFile() (R3层)  --> || NtCreateFile() [I/O管理器在这一层,ntdll.dll]  -->|| 内核驱动层(R0层) ,这里讨论的主要是针对最后的内核驱动层的处理。          当每个IRP被处理的时候,它会经过驱动层中的各个驱动程序,直到最终被某个驱动程序调用IoCo
微软sfilter源码
07-28
微软文件过滤驱动架构,大家可以在上面略作修改实现自己的需求,值得参考!
sfilter流程浅析
09-06
sfilter流程浅析,适合学习研究这份源码的人
Sfilter过滤程序C源文件
06-01
Sfilter过滤程序C源文件 Sfilter过滤程序C源文件
文件系统过滤驱动-Sfilter流程解析
05-09 1676
1> IFS 流程图 a.生成一个控制设备.当然此前你必须给控制设置指定名称. b.设置Dispatch Functions. c.设置Fast Io Functions. d.编写一个my_fs_notify回调函数,在其中绑定刚激活的FS CDO. e.使用wdff_reg_notify调用注册这个回调函数。 f.编写默认的dispatch functions. g.处理
HIPS(Sfilter
kernweak的博客
06-04 354
文件过滤那么就是相关分发函数的处理 FilterCreate(创建) FilterRead(一般不拦截,加解密处理) FilterWrite(修改,加解密处理) FilterSetInfo(删,重命名,IRP_MJ_SET_INFORMATION) Filterclose(一般不拦截,写关闭拦截) FIlterClean(写关闭) 代码片段 DriverObject->...
文件,注册表过滤--Sfilter、Minifilter
05-16 1687
本公众号分享的所有技术仅用于学习交流,请勿用于其他非法活动,如有错漏,欢迎留言交流指正 文件,注册表过滤 分层驱动框架 NT驱动框架:单层驱动,只能接受自己进程的IRP Sifileter驱动框架:多层驱动,接受所有进程的IRP 过滤:分层驱动中再加一层而不影响它的上下层,以过滤它们之间的数据,对数据或行为进行安全控制。过滤是通过设备绑定实现的(有多少个文件卷设备就生成多少个文件过滤驱动设备对象一一绑定,这样,发给各个卷设备对象的IRP都会被监控到)。 磁盘过滤驱动:用于文件还原 绑定与..
基于Sfilter框架Demo的缓冲区溢出BUG分析
谢绝(无视)留言与私信
06-11 1845
实验了好几次, 才找到能崩溃的那个demoDrv.sys 做个应用层的启动程序, 只负责安装这个驱动, 指定该驱动随着系统启动. (备注: 如果直接安装运行驱动, 有可能崩溃后, 调用栈链中没有我们的驱动) 安装驱动完成后, 重新启动计算机. 用WinDbg链接计算机进行调试, 当计算机启动起来后,被WinDbg断下. 设置合适的符号路径, 源文件路径, 映像路径.  在dem
[Sfilter]在SfCreate()函数一开始得到文件名的方法(含长短名转换)
trents的专栏
08-22 2176
转自:http://bbs3.driverdevelop.com/read.php?tid-110833.html 编译环境:ifs2003 目标系统:windowsXP + sp2 基本是按照楚狂人的教程来的,长短名转换确实挺麻烦,已通过测试。 在驱网看了很多好文章,心底有很多谢意,也许这个东西能对别人有用。 FYI: //get the name with FILE_OBJ
java基于ssm+jsp珠宝购物网站系统源码 带毕业论文
最新发布
09-20
【资源说明】 1、开发环境:ssm框架;内含Mysql数据库;JSP技术 2、项目代码都经过严格调试,代码没有任何bug!下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习借鉴。 4、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值