MiniFilter 微过滤驱动是相对于SFilter传统过滤驱动而言的,传统文件过滤驱动相对来说较为复杂,且接口不清晰并不符合快速开发的需求,为了解决复杂的开发问题,微过滤驱动就此诞生,微过滤驱动在编写时更简单,多数IRP操作都由过滤管理器(FilterManager或Fltmgr)所接管,因为有了兼容层,所以在开发中不需要考虑底层IRP如何派发,更无需要考虑兼容性问题,用户只需要编写对应的回调
原创
精选
2023-06-19 09:01:05
1532阅读
MiniFilter 微过滤驱动是相对于`SFilter`传统过滤驱动而言的,传统文件过滤驱动相对来说较为复杂,且接口不清晰并不符合快速开发
原创
2023-07-06 10:27:13
88阅读
01、创建控制设备对象: 文件系统过滤驱动的DriverEntry例程通常以创建控制设备对象作为该例程的起始。创建控制设备对象的目的在于允许应用程序即使在过滤驱动加载到文件系统或卷设备对象之前也能够直接与过滤驱动进行通信。 注意:文件系统也会创建控制设备对象。当文件系统过滤驱动将其自身附加到
转载
精选
2013-05-16 09:00:53
1620阅读
摘要: 我想做一个unlocker一样的程序,不管这个文件有没有被使用,先实现删除它。在查资料过程中,就知道了如果不访问磁盘扇区的话,除非写驱动才能做到。奈何时间有限,工作匆忙,一直没有完成。而且忽视了更简便的方法——在别的路径下把修改后的OCX控件重新注册一下就可以了。 这些都不要说了,这段闲暇时间,我写了一个过滤加密,就这么简单。在DDK的示例Sfilter基础上改的。 文件过滤加密的源代码//过滤读NTSTATUS SfRead(__in PDEVICE_OBJECT DeviceObject, __in PIRP Irp){ PIO_STACK_LOCATIO...
转载
2013-09-25 20:07:00
117阅读
2评论
转载我想做一个unlocker一样的程序,不管这个文件有没有被使用,先实现删除它。在查资料过程中,就知道了如果不访问磁盘扇区的话,除非写驱动才能做到。奈何时间有限,工作匆忙,一直没有完成。而且忽视了更简便的方法——在别的路径下把修改后的OCX控件重新注册一下就可以了。 这些都不...
转载
2010-11-19 16:40:00
117阅读
2评论
软考文件过滤驱动技术:原理、应用与挑战
随着信息技术的飞速发展,计算机软件考试(简称软考)在中国IT行业中的地位日益提升。在软考的各个级别中,文件过滤驱动技术作为一个重要考点,对于考生来说掌握其原理和应用是非常必要的。本文将围绕软考文件过滤驱动技术展开讨论,介绍其原理、应用领域以及面临的挑战。
一、软考文件过滤驱动技术原理
文件过滤驱动(File Filter Driver)是一种特殊的驱动
by ai3000
看了 ChuKuangRen 的第二版《文件过滤驱动开发教程》后,颇有感触。我想,交流都是
建立在平等的基础上,在抱怨氛围和环境不好的同时应该先想一想自己究竟付出了多少?
只知索取不愿付出的人也就不用抱怨了,要怪也只能怪自己。发自己心得的人无非是两种
目的,一是引发一些讨论,好纠正自己错误的认识,以便从中获取更多的知识使自己进步
的更快。二是做一份备忘,当自己遗忘
转载
2007-11-16 23:21:39
3432阅读
本文是一篇关于驱动过滤的帖子一、目标 1、Windows下实现底层过滤,对word、txt停止透明加密二、参考1、微过滤驱动入门2、Word文档结构3、Windbg双机环境配置4、《FilterDriverDeveloperGuide》5、《Windows驱动开辟技巧详解》(内容较老,但作者写的很专心,值得看看)每日一道理 生活的无奈,有时并不源于自我,别人无心的筑就,那是一种阴差阳错。生活本就是矛盾的,白天与黑夜间的距离,春夏秋冬之间的轮回,于是有了挑剔的喜爱,让无奈加上了喜悦的等待。6、《Windows内核安全编程从入门到实际》(具体的应用教程,工作开始时可以看看)7、《寒江独钓-Win.
转载
2013-05-12 23:18:00
134阅读
2评论
在笔者接触驱动到如今以来一以后大半个月的时间,从中让我深深的体会到了万事开头难,以及学习持之以恒的重要性。笔者也是个驱动新人,開始接触驱动的时候看着张帆的《Windows驱动开发技术具体解释》讲的挺细,对新手来说是个不错的学习资料,可是更重要的还是自己要多动手练习,笔者在学习到同步操作的相关知识的时候,实在是看天书。最后还是放弃了学习本书。再找了本楚狂人的资料学习,感觉本书对新手来说还
转载
2015-01-31 11:49:00
70阅读
://hi.baidu.com/code_tin/blog/item/e47c1501b054291b738b65c5.html驱动基础4键盘过滤驱动2009-12-04 01:49符号连接:符号连接,事实上就是一个别名.能够用一个不同的名字代表一个设备对象.csrss.exe中的win32...
转载
2014-11-04 11:54:00
184阅读
在笔者接触驱动到如今以来一以后大半个月的时间,从中让我深深的体会到了万事开头难,以及学习持之以恒的重要性。笔者也是个驱动新人,開始接触驱动的时候看着张帆的《Windows驱动开发技术具体解释》讲的挺细,对新手来说是个不错的学习资料,可是更重要的还是自己要多动手练习,笔者在学习到同步操作的相关知识的...
转载
2014-12-25 18:03:00
117阅读
2评论
我们的目的就是将自己的驱动设备挂接/driver/kbdclass驱动下的全部设备,如图所看到的: 然后通过处理来达到过滤我们想要的按键信息。挂接后的驱动中的第一个设备就是我们的过滤设备,当有按键触发,按键信息首先会被我们自己写的设备所拦截,可是这时候拦截到的是没有处理的按键信息,那改怎么处理呢?我们去问键盘驱动,当我们拦截到按键IRP的时候先不做处理,给IRP设置完
转载
2015-01-27 12:22:00
62阅读
最近看 《树木和独钓 windows内核编程》,看到键盘过滤部分,做笔记,仅供参考,那里被理解为是不正确的,同时,我们也希望大家指正。如今来说一下传统型键盘过滤,就是把自己的设备对象绑定在KbdClass设备对象之上。那么发送到KbdClass的IRP都会先经过自己的设备对象,我们能够在读派遣函数中...
转载
2015-07-02 19:04:00
300阅读
2评论
驱动过滤鼠标, 附加到鼠标设备上
VOID Attach( IN PDRIVER_OBJECT DriverObject &nb
原创
2012-12-22 22:36:01
1491阅读
6.IRP的传递,File System Control Dispatch
我们现在不得不开始写dispatch functions.因为你的设备已经绑定到文件系统控制设备上去了。windows发给文件系统的请求发给你的驱动。如果你不能做恰当的处理,你的系统的就会崩溃。
最简单的处理方式是把请求不加改变的传递到我们所绑定的设备上去。如何获得我们所绑定的设备?上一节已经把该设备记录
转载
2007-11-16 23:11:58
1702阅读
文件过滤驱动拦截的IRP主要包括以下几个:IRP_MJ_CREATE,文件创建操作,文件的任何操作,都是从这里开始的。IRP_MJ_CLEANUP,文件的HANDLE句柄全部关闭会触发这个消息IRP_MJ_CLOSE,文件对象 FILE_OBJECT引用减为0,文件对象即将被删除时触发。IRP_MJ Read More
转载
2016-10-09 04:52:00
185阅读
2评论
3.分发例程,fast io
上一节仅仅生成了控制设备对象。但是不要忘记,驱动开发的主要工作是撰写分发例程(dispatch
functions.).接上一接,我们已经知道自己的DriverObject保存在上文代码的driver中。现在我写如下一个函数来指定一个默认的
dispatch function给它。
//-----------------wdf.h中的代码-----
转载
2007-11-16 23:07:17
2075阅读
11.文件和目录的生成打开,关闭与删除
我们已经分析了读,写与读类似。文件系统还有其他的操作。比如文件或目录的打开(打开已经存在的或者创建新的),关闭。文件或目录的移动,删除。
实际上FILE_OBJECT并不仅仅指文件对象。在windows文件系统中,目录和文件都是用FileObject来抽象的。这里产生一个问题,对于一个已经有的FileObject,我如何判断这是一个目录还是一
转载
2007-11-16 23:17:17
2370阅读
Minifilter 是一种文件过滤驱动,该驱动简称为微过滤驱动,相对于传统的`sfilter`文件过滤驱动来说,微过滤驱动编写时更简单,其不需要考虑底层RIP如何派发且无需要考虑兼容性问题,微过滤驱动使用过滤管理器`FilterManager`提供接口,由于提供了管理结构以及一系列管理API函数,所以枚举过滤驱动将变得十分容易。
原创
2022-10-23 01:55:09
326阅读
点赞
