文件过滤驱动DEMO版-编程技术-看雪-安全社区|安全招聘|kanxue.com

文件过滤驱动DEMO版

发表于: 2011-3-30 15:24 19908

文件过滤驱动DEMO版

AlexLong

2011-3-30 15:24

19908

首先声明本帖首发于赏金论坛，希望大家能多多关注这个正在成长的论坛http://www.sgoldcn.com

看了很久的文件系统过滤驱动相关教程，但一直抓不住过滤驱动代码的大框架，一直在过滤驱动的代码中找不到北。偶然看到了一篇英文版教程，读后豁然开朗，学习的过程中记录了以下文字，拿出来与大家分享。
感谢作者，原作地址（http://www.codeproject.com/KB/system/fs-filter-driver-tutorial.aspx）
代码是那篇英文教程的，代码注释换成了我自己的理解。这些代码忽略掉了请多细节，非常有助于快速掌握过滤驱动框架，不会像读sfilter那样拘泥于细节而找不着北，在掌握了整个框架之后再去读sfilter是个不错的选择。

简洁的文件系统过滤驱动框架：
1. DriverEntry中设置初始化例程、卸载例程、需要过滤的IRP例程、快速IO例程，完成卸载例程。最重要的是最后一步：注册文件系统变更消息例程。
2. 完成文件系统变更消息例程，其中需要完成挂载设备与解挂载设备的例程。挂载时需要枚举当前文件系统中已经存在的卷设备并也将自身挂载到他们之上。
3. 处理IRP例程。包括普通IRP例程与快速IO例程。

开始编写：
1. 在DriverEntry中设置IRP例程，注册系统变更消息例程、卸载例程等。这里暂时只处理IRP_MJ_CREATE，在FsFilterDispatchCreate只打印出路径信息。

NTSTATUS DriverEntry( 
IN PDRIVER_OBJECT DriverObject, 
IN PUNICODE_STRING pRegistryPath 
) 
{ 
NTSTATUS status = STATUS_SUCCESS; 
int i = 0; 
 
//保存驱动对象到全局变量 
g_FsFilterDriverObject = DriverObject; 
 
//初始化例程 
for (i = 0; i <= IRP_MJ_MAXIMUM_FUNCTION; i++) 
{ 
DriverObject->MajorFunction = FsFilterDispatchPassThrough; 
} 
 
//卸载例程 
DriverObject->DriverUnload = FsFilterUnload; 
 
//在这个Demo里，只过滤IRP_MJ_CREATE 
DriverObject->MajorFunction[IRP_MJ_CREATE] = FsFilterDispatchCreate; 
 
//FastIO分发函数 
DriverObject->FastIoDispatch = &g_fastIoDispatch; 
 
//注册文件系统变更消息例程 
status = IoRegisterFsRegistrationChange(DriverObject,FsFilterNotificationCallback); 
if (!NT_SUCCESS(status)) 
{ 
KdPrint(("IoRegisterFsRegistrationChange Error!")); 
return status; 
} 
 
return STATUS_SUCCESS; 
}

VOID FsFilterUnload( 
IN PDRIVER_OBJECT DriverObject) 
{ 
ULONG numDevices = 0; 
ULONG i = 0; 
LARGE_INTEGER interval; 
PDEVICE_OBJECT devList[DEVOBJ_LIST_SIZE]; 
 
interval.QuadPart = (5 * DELAY_ONE_SECOND); 
 
//注销系统变更例程 
IoUnregisterFsRegistrationChange(DriverObject,FsFilterNotificationCallback); 
 
//循环Detach所有设备并删除 
for (;;) 
{ 
IoEnumerateDeviceObjectList(DriverObject,devList,sizeof(devList),&numDevices); 
if (0 == numDevices) 
break; 
 
numDevices = min(numDevices,RTL_NUMBER_OF(devList)); 
 
for (i = 0; i < numDevices; i++) 
{ 
//Detach并删除设备 
FsFilterDetachFromDevice(devList); 
ObDereferenceObject(devList); 
} 
 
//延时5秒，保证所有IRP都完成 
KeDelayExecutionThread(KernelMode,FALSE,&interval); 
} 
}

//当文件系统被激活或被注销时会调用此回调函数 
VOID FsFilterNotificationCallback ( 
IN struct _DEVICE_OBJECT *DeviceObject, 
IN BOOLEAN FsActive 
) 
{ 
if (FsActive) 
{ 
//FsActive == TRUE 被激活 
FsFilterAttachToFileSystemDevice(DeviceObject); 
} 
else
{ 
//FsActive == FALSE 被注销 
FsFilterDetachFromFileSystemDevice(DeviceObject); 
} 
}

//文件系统激活回调函数 
NTSTATUS FsFilterAttachToFileSystemDevice ( 
IN PDEVICE_OBJECT DeviceObject 
) 
{ 
NTSTATUS status = STATUS_SUCCESS; 
PDEVICE_OBJECT filterDeviceObject = NULL; 
 
//检测我们的设备是否已经挂载，防止重复挂载 
if (!FsFilterIsAttachedToDevice(DeviceObject)) 
{ 
//开始挂载 
status = FsFilterAttachToDevice(DeviceObject,&filterDeviceObject); 
if (!NT_SUCCESS(status)) 
{ 
return status; 
} 
 
//枚举文件系统上已有的所有卷设备并挂载 
status = FsFilterEnumerateFileSystemVolumes(DeviceObject); 
if (!NT_SUCCESS(status)) 
{ 
FsFilterDetachFromDevice(filterDeviceObject); 
return status; 
} 
} 
 
return STATUS_SUCCESS; 
}

//挂载设备 
NTSTATUS FsFilterAttachToDevice( 
IN PDEVICE_OBJECT DeviceObject, 
OUT PDEVICE_OBJECT* pFilterDeviceObject 
) 
{ 
NTSTATUS status = STATUS_SUCCESS; 
PDEVICE_OBJECT filterDeviceObject = NULL; 
PFSFILTER_DEVICE_EXTENSION pDevExt = NULL; 
ULONG i = 0; 
 
//防止重复挂载 
ASSERT(!FsFilterIsAttachedToDevice(DeviceObject)); 
 
//创建过滤设备 
status = IoCreateDevice(g_FsFilterDriverObject,sizeof(FSFILTER_DEVICE_EXTENSION),NULL,DeviceObject->DeviceType,0,FALSE,&filterDeviceObject); 
if (!NT_SUCCESS(status)) 
{ 
return status; 
} 
 
pDevExt = (PFSFILTER_DEVICE_EXTENSION)filterDeviceObject->DeviceExtension; 
 
//复制标志位 
if (FlagOn(DeviceObject->Flags,DO_BUFFERED_IO)) 
{ 
SetFlag(filterDeviceObject->Flags,DO_BUFFERED_IO); 
} 
 
if (FlagOn(DeviceObject->Flags,DO_DIRECT_IO)) 
{ 
SetFlag(filterDeviceObject->Flags,DO_DIRECT_IO); 
} 
 
if (FlagOn(DeviceObject->Characteristics,FILE_DEVICE_SECURE_OPEN)) 
{ 
SetFlag(filterDeviceObject->Characteristics,FILE_DEVICE_SECURE_OPEN); 
} 
 
//如果挂载失败说明是设备对象还没有完成初始化，这种情况一般发生在卷正在被装入的时候过滤驱动被加载 
//所以用for循环，失败后可以再次尝试挂载 
for (i = 0; i < 8; i++) 
{ 
LARGE_INTEGER interval; 
 
//正式挂载设备 
status = IoAttachDeviceToDeviceStackSafe(filterDeviceObject,DeviceObject,&pDevExt->AttachedToDeviceObject); 
if (NT_SUCCESS(status)) 
{ 
break; 
} 
 
//延时5秒，给设备足够的时间完成初始化 
interval.QuadPart = (500 * DELAY_ONE_MILLISECOND); 
KeDelayExecutionThread(KernelMode, FALSE, &interval); 
} 
 
if (!NT_SUCCESS(status)) 
{ 
//失败则清理现场 
IoDeleteDevice(filterDeviceObject); 
filterDeviceObject = NULL; 
} 
else
{ 
//设置正在初始化的标志 
ClearFlag(filterDeviceObject->Flags, DO_DEVICE_INITIALIZING); 
 
if (NULL != pFilterDeviceObject) 
{ 
*pFilterDeviceObject = filterDeviceObject; 
} 
} 
 
return status; 
}

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

上传的附件：

Code_FileSystemFilterDemo.rar （15.91kb，385次下载）
未命名.JPG （96.48kb，848次下载）

收藏・23

免费・7

支持

赞赏记录

参与人

雪币

留言

时间

Youlor

为你点赞~

2024-5-31 06:24

伟叔叔

为你点赞~

2024-3-27 00:03

心游尘世外

为你点赞~

2024-2-8 00:39

飘零丶

为你点赞~

2024-1-28 04:09

QinBeast

为你点赞~

2024-1-24 00:03

shinratensei

为你点赞~

2024-1-19 01:37

PLEBFE

为你点赞~

2023-3-10 03:00

最新回复 (10)
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 2 楼支持下。。。。不过发广告就XXX 2011-3-30 15:48 0
zycxy 雪币： 387 活跃值： (76) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 107 粉丝 1 关注私信	zycxy 3 楼先收藏了，这块正糊涂呢 2011-3-30 17:14 0
gddcxysqw 雪币： 40 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 221 粉丝 0 关注私信	gddcxysqw 4 楼和书上的例子没什么区别啊并且还没盘符不幸福 2012-3-23 15:50 0
tianhz 雪币： 557 活跃值： (459) 能力值： ( LV9，RANK：170 ) 在线值：发帖 19 回帖 127 粉丝 35 关注私信	tianhz 3 5 楼文件系统过滤驱动的书籍很少，不知道各位能否推荐一些好的资料？ 2012-5-22 09:52 0
莫灰灰雪币： 2481 活跃值： (2405) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 50 关注私信	莫灰灰 9 6 楼 win8以后sfilter可能就不支持了吧。。 minifilter以后才是王道啊。 2012-5-22 10:04 0
uniking 雪币： 931 活跃值： (339) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 57 粉丝 0 关注私信	uniking 7 楼如果会Sfilter，minifilter就会很简单。minifilter只是它的封装罢了。反过来就难说了啊。 2012-5-22 10:15 0
wwwzhigang 雪币： 274 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 202 粉丝 1 关注私信	wwwzhigang 8 楼呵呵，得系统的好好学习一下了~~ 2012-7-16 11:10 0
hidden米雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 108 粉丝 0 关注私信	hidden米 9 楼不错不错呵呵 2012-7-19 22:55 0
liudanking 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 50 粉丝 0 关注私信	liudanking 10 楼谢谢分享！先下载看看 2012-7-20 16:03 0
十年后不是你雪币： 256 活跃值： (382) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	十年后不是你 11 楼学习 2020-8-6 21:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

AlexLong

发帖

回帖

110

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 2 楼支持下。。。。不过发广告就XXX 2011-3-30 15:48 0
zycxy 雪币： 387 活跃值： (76) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 107 粉丝 1 关注私信	zycxy 3 楼先收藏了，这块正糊涂呢 2011-3-30 17:14 0
gddcxysqw 雪币： 40 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 221 粉丝 0 关注私信	gddcxysqw 4 楼和书上的例子没什么区别啊并且还没盘符不幸福 2012-3-23 15:50 0
tianhz 雪币： 557 活跃值： (459) 能力值： ( LV9，RANK：170 ) 在线值：发帖 19 回帖 127 粉丝 35 关注私信	tianhz 3 5 楼文件系统过滤驱动的书籍很少，不知道各位能否推荐一些好的资料？ 2012-5-22 09:52 0
莫灰灰雪币： 2481 活跃值： (2405) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 50 关注私信	莫灰灰 9 6 楼 win8以后sfilter可能就不支持了吧。。 minifilter以后才是王道啊。 2012-5-22 10:04 0
uniking 雪币： 931 活跃值： (339) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 57 粉丝 0 关注私信	uniking 7 楼如果会Sfilter，minifilter就会很简单。minifilter只是它的封装罢了。反过来就难说了啊。 2012-5-22 10:15 0
wwwzhigang 雪币： 274 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 202 粉丝 1 关注私信	wwwzhigang 8 楼呵呵，得系统的好好学习一下了~~ 2012-7-16 11:10 0
hidden米雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 108 粉丝 0 关注私信	hidden米 9 楼不错不错呵呵 2012-7-19 22:55 0
liudanking 雪币： 84 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 50 粉丝 0 关注私信	liudanking 10 楼谢谢分享！先下载看看 2012-7-20 16:03 0
十年后不是你雪币： 256 活跃值： (382) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	十年后不是你 11 楼学习 2020-8-6 21:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

文件过滤驱动DEMO版

账号登录 验证码登录

账号登录

验证码登录