文件系统过滤驱动-编程技术-看雪-安全社区|安全招聘|kanxue.com

文件系统过滤驱动

发表于: 2012-4-19 09:47 12002

文件系统过滤驱动

MDebug

2012-4-19 09:47

12002

每个文件系统I / O操作（创建，读取，写入，重命名等）被称为文件系统过滤驱动程序，因此，它可以修改文件系统的行为。文件系统过滤器驱动程序， S是几乎相似的遗留驱动小号，但他们需要做一些特殊的步骤。使用反病毒，安全，备份，快照软件等驱动秒。
先进入代码先:

1.通过入口函数进入驱动
MAIN.C

////////////////////////////////////////////////////////
// Global data

PDRIVER_OBJECT   g_fsFilterDriverObject = NULL;

////////////////////////////////////////////////////////
// DriverEntry - Entry point of the driver

NTSTATUS DriverEntry(
    __inout PDRIVER_OBJECT  DriverObject,
    __in    PUNICODE_STRING RegistryPath
    )
{    
    NTSTATUS status = STATUS_SUCCESS;
    ULONG    i      = 0;

    //ASSERT(FALSE); // This will break to debugger

    //
    // Store our driver object.
    //

    g_fsFilterDriverObject = DriverObject;
    ...
}

//////////////////////////////////////////////////////////////////////////
// DriverEntry - Entry point of the driver

NTSTATUS DriverEntry(
    __inout PDRIVER_OBJECT  DriverObject,
    __in    PUNICODE_STRING RegistryPath
    )
{    
    ...
    //
    //  Initialize the driver object dispatch table.
    //

    for (i = 0; i <= IRP_MJ_MAXIMUM_FUNCTION; ++i) 
    {
        DriverObject->MajorFunction[i] = FsFilterDispatchPassThrough;
    }

    DriverObject->MajorFunction[IRP_MJ_CREATE] = FsFilterDispatchCreate;
    ...
}

//////////////////////////////////////////////////////////////////////////
// Global data

FAST_IO_DISPATCH g_fastIoDispatch =
{
    sizeof(FAST_IO_DISPATCH),
    FsFilterFastIoCheckIfPossible,
    ...
};

//////////////////////////////////////////////////////////////////////////
// DriverEntry - Entry point of the driver

NTSTATUS DriverEntry(
    __inout PDRIVER_OBJECT  DriverObject,
    __in    PUNICODE_STRING RegistryPath
    )
{    
    ...
    //
    // Set fast-io dispatch table.
    //

    DriverObject->FastIoDispatch = &g_fastIoDispatch;
    ...
}


//////////////////////////////////////////////////////////////////////////
// DriverEntry - Entry point of the driver

NTSTATUS DriverEntry(
    __inout PDRIVER_OBJECT  DriverObject,
    __in    PUNICODE_STRING RegistryPath
    )
{    
    ...
    //
    //  Registered callback routine for file system changes.
    //

    status = IoRegisterFsRegistrationChange(DriverObject, 
                       FsFilterNotificationCallback); 
    if (!NT_SUCCESS(status)) 
    {
        return status;
    }
    ...
}


//////////////////////////////////////////////////////////////////////////
// DriverEntry - Entry point of the driver

NTSTATUS DriverEntry(
    __inout PDRIVER_OBJECT  DriverObject,
    __in    PUNICODE_STRING RegistryPath
    )
{    
    ...
    //
    // Set driver unload routine (debug purpose only).
    //

    DriverObject->DriverUnload = FsFilterUnload;

    return STATUS_SUCCESS;
}


//////////////////////////////////////////////////////////////////////////
// Unload routine

VOID FsFilterUnload(
    __in PDRIVER_OBJECT DriverObject
    )
{
    ...

    //
    //  Unregistered callback routine for file system changes.
    //

    IoUnregisterFsRegistrationChange(DriverObject, FsFilterNotificationCallback);

    ...
}

//////////////////////////////////////////////////////////////////////////
// Unload routine

VOID FsFilterUnload(
    __in PDRIVER_OBJECT DriverObject
    )
{
    ...

    for (;;)
    {
        IoEnumerateDeviceObjectList(
            DriverObject,
            devList,
            sizeof(devList),
            &numDevices);

        if (0 == numDevices)
        {
            break;
        }

        numDevices = min(numDevices, RTL_NUMBER_OF(devList));

        for (i = 0; i < numDevices; ++i) 
        {
            FsFilterDetachFromDevice(devList[i]);
            ObDereferenceObject(devList[i]);
        }
        
        KeDelayExecutionThread(KernelMode, FALSE, &interval);
    }
}

/////////////////////////////////////////////////////////////////
// PassThrough IRP Handler

NTSTATUS FsFilterDispatchPassThrough(
    __in PDEVICE_OBJECT DeviceObject, 
    __in PIRP           Irp
    )
{
    PFSFILTER_DEVICE_EXTENSION pDevExt = 
      (PFSFILTER_DEVICE_EXTENSION)DeviceObject->DeviceExtension;

    IoSkipCurrentIrpStackLocation(Irp);
    return IoCallDriver(pDevExt->AttachedToDeviceObject, Irp);
}

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

01-fsDevices.png （69.67kb，335次下载）
02-diskC.PNG （21.50kb，331次下载）
03-install.PNG （68.57kb，332次下载）
04-debugView.PNG （170.78kb，336次下载）
05-deviceTree01_small.PNG （138.67kb，334次下载）
06-deviceTree02.PNG （38.55kb，7次下载）
07-deviceTree03_small.PNG （130.71kb，326次下载）
08-uninstall.PNG （77.55kb，322次下载）
09-deviceTree04_small.PNG （124.69kb，280次下载）
FsFilter.zip （16.31kb，176次下载）

收藏・23

免费・6

支持

最新回复 (13)
MDebug 雪币： 44 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 151 粉丝 0 关注私信	MDebug 2 楼占位专用D 2012-4-19 09:54 0
邋遢鬼雪币： 31 活跃值： (48) 能力值： ( LV3，RANK：20 ) 在线值：发帖 19 回帖 527 粉丝 0 关注私信	邋遢鬼 3 楼板凳，收藏先。 2012-4-19 11:19 0
七夜血雪币： 248 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	七夜血 4 楼 mark下正在学习 2012-4-19 11:46 0
yjd 雪币： 2882 活跃值： (1279) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 5 楼这名字，这头像-_-!! 2012-4-19 12:06 0
z许雪币： 1895 活跃值： (1657) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 266 粉丝 4 关注私信	z许 6 楼又一大牛横空出世。mark 2012-4-19 12:32 0
MDebug 雪币： 44 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 151 粉丝 0 关注私信	MDebug 7 楼气势压倒秦雄 2012-4-19 12:50 0
muyen 雪币： 309 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 92 粉丝 1 关注私信	muyen 8 楼有才呀,头像搞成这样 2012-4-19 13:08 0
liioer 雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 55 粉丝 0 关注私信	liioer 9 楼文件过滤,不如虚拟文件系统,恭喜哥们一脚跨入鬼门关~ 2012-4-19 14:46 0
tydef 雪币： 107 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 202 粉丝 0 关注私信	tydef 10 楼每个文件系统I / O操作（创建，读取，写入，重命名等）被称为文件系统过滤驱动程序操作被称为过滤驱动程序？？？使用反病毒，安全，备份，快照软件等驱动秒等待5秒钟，让所有未决的IRP完成。因为它是之前提到的，这是一个调试的唯一的解决办法。在大多数情况下它的工作原理，但没有保证为所有 .并不是所有的快速IO例程必须实现由底层的文件系统，所以我们必须确保有关的哥们你这文章是金山快译翻的吧 http://www.codeproject.com/Articles/43586/File-System-Filter-Driver-Tutorial 2012-4-19 15:05 0
yangya 雪币： 58 活跃值： (1130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 318 粉丝 1 关注私信	yangya 11 楼确实是金山快译翻译的！ 2012-4-19 15:53 0
liioer 雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 55 粉丝 0 关注私信	liioer 12 楼 Unload中的KeDelayExecutionThread(KernelMode, FALSE, &interval);是sfilter的简化写法为了让每个device中的irp尽可能的处理完.在成熟的产品中,往往会使用IRP计数器和异步IO计数同时来保证一个device上的IO操作得到完成或完全取消后在delete设备.~~~,最后付上俺的小博 http://rerede.com 欢迎来踩踩~~ 2012-4-19 16:19 0
tydef 雪币： 107 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 202 粉丝 0 关注私信	tydef 13 楼哥们楼主的翻译风格你也继承了？还在翻译CODEPROJECT的英文教程？我想说你忘记换马甲了 2012-4-19 19:46 0
jinxuelong 雪币： 141 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 67 粉丝 0 关注私信	jinxuelong 14 楼谢谢老师 2012-4-19 20:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

MDebug

发帖

151

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (13)
MDebug 雪币： 44 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 151 粉丝 0 关注私信	MDebug 2 楼占位专用D 2012-4-19 09:54 0
邋遢鬼雪币： 31 活跃值： (48) 能力值： ( LV3，RANK：20 ) 在线值：发帖 19 回帖 527 粉丝 0 关注私信	邋遢鬼 3 楼板凳，收藏先。 2012-4-19 11:19 0
七夜血雪币： 248 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	七夜血 4 楼 mark下正在学习 2012-4-19 11:46 0
yjd 雪币： 2882 活跃值： (1279) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 5 楼这名字，这头像-_-!! 2012-4-19 12:06 0
z许雪币： 1895 活跃值： (1657) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 266 粉丝 4 关注私信	z许 6 楼又一大牛横空出世。mark 2012-4-19 12:32 0
MDebug 雪币： 44 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 151 粉丝 0 关注私信	MDebug 7 楼气势压倒秦雄 2012-4-19 12:50 0
muyen 雪币： 309 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 92 粉丝 1 关注私信	muyen 8 楼有才呀,头像搞成这样 2012-4-19 13:08 0
liioer 雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 55 粉丝 0 关注私信	liioer 9 楼文件过滤,不如虚拟文件系统,恭喜哥们一脚跨入鬼门关~ 2012-4-19 14:46 0
tydef 雪币： 107 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 202 粉丝 0 关注私信	tydef 10 楼每个文件系统I / O操作（创建，读取，写入，重命名等）被称为文件系统过滤驱动程序操作被称为过滤驱动程序？？？使用反病毒，安全，备份，快照软件等驱动秒等待5秒钟，让所有未决的IRP完成。因为它是之前提到的，这是一个调试的唯一的解决办法。在大多数情况下它的工作原理，但没有保证为所有 .并不是所有的快速IO例程必须实现由底层的文件系统，所以我们必须确保有关的哥们你这文章是金山快译翻的吧 http://www.codeproject.com/Articles/43586/File-System-Filter-Driver-Tutorial 2012-4-19 15:05 0
yangya 雪币： 58 活跃值： (1130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 318 粉丝 1 关注私信	yangya 11 楼确实是金山快译翻译的！ 2012-4-19 15:53 0
liioer 雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 55 粉丝 0 关注私信	liioer 12 楼 Unload中的KeDelayExecutionThread(KernelMode, FALSE, &interval);是sfilter的简化写法为了让每个device中的irp尽可能的处理完.在成熟的产品中,往往会使用IRP计数器和异步IO计数同时来保证一个device上的IO操作得到完成或完全取消后在delete设备.~~~,最后付上俺的小博 http://rerede.com 欢迎来踩踩~~ 2012-4-19 16:19 0
tydef 雪币： 107 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 202 粉丝 0 关注私信	tydef 13 楼哥们楼主的翻译风格你也继承了？还在翻译CODEPROJECT的英文教程？我想说你忘记换马甲了 2012-4-19 19:46 0
jinxuelong 雪币： 141 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 67 粉丝 0 关注私信	jinxuelong 14 楼谢谢老师 2012-4-19 20:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复