[分享]整理一份我对Windows文件系统过滤驱动的sFilter工程代码的详细说明-编程技术-看雪-安全社区|安全招聘|kanxue.com

[分享]整理一份我对Windows文件系统过滤驱动的sFilter工程代码的详细说明

发表于: 2012-6-19 18:32 43183

[分享]整理一份我对Windows文件系统过滤驱动的sFilter工程代码的详细说明

tianhz

2012-6-19 18:32

43183

查看主题内容

收藏・124

免费・8

支持

最新回复 (56) ◀ 1 2 3 ▶
liwenl 雪币： 53 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 0 关注私信	liwenl 26 楼我顶，中国好代码！ 2014-2-25 15:56 0
tianhz 雪币： 557 活跃值： (444) 能力值： ( LV9，RANK：170 ) 在线值：发帖 19 回帖 127 粉丝 31 关注私信	tianhz 3 27 楼 sFilter框架很难吗？怎么还有这么多人怕去使用sFilter。那些做的好的透明加解密软件，很多都是用sFilter来做的。有人说 Windows的 x64位操作系统上，使用sFilter会有问题。是的，确实是有一些小问题，这是因为sFilter框架里面的代码发生变动了。但不是说不能用，不一定非得要用MiniFilter框架。改天，我给大家写一些MiniFilter的文章。然后我再仔细地告诉你大家，什么时候使用sFilter合适，什么时候使用MiniFilter合适。 2014-3-7 19:00 0
tianhz 雪币： 557 活跃值： (444) 能力值： ( LV9，RANK：170 ) 在线值：发帖 19 回帖 127 粉丝 31 关注私信	tianhz 3 28 楼对文件过滤驱动，以及对sFilter的理解程度，我分为2种人：第1种人，就是对sFilter这个工程框架研究还不到2年以上的人，或很少使用sFilter来开发程序。第2种人，就是对 sFilter很熟悉的人，并知道何时使用sFilter、何时使用MiniFilter 2014-3-7 19:05 0
silence刘雪币： 79 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 225 粉丝 0 关注私信	silence刘 29 楼 MRAK一下 2014-3-11 20:33 0
annglf 雪币： 145 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	annglf 30 楼不错。分享。 2014-3-11 23:09 0
liwenl 雪币： 53 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 0 关注私信	liwenl 31 楼楼主，我加载你的代码写的驱动后，devicetree看到绑定sfilter的设备到卷设备，但是我读写操作U盘时进入了SfCreate了例程，没有进入SfDisplayCreateFileName，得不到路径。自己回答：还需要IRP_MJ_READ例程 2014-4-12 17:27 0
zclever 雪币： 67 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 100 粉丝 0 关注私信	zclever 32 楼期待Minifilter文章的放出 2014-4-22 17:11 0
韩梦雅雪币： 1933 活跃值： (113) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 103 粉丝 1 关注私信	韩梦雅 33 楼多谢，多谢！！ 2014-6-6 13:59 0
funnyf 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 75 粉丝 0 关注私信	funnyf 34 楼貌似驱动课程里有这个任务 2014-6-10 10:46 0
二十七❤ 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	二十七❤ 35 楼学习了！谢谢楼主 2014-7-12 22:46 0
fragileeye 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 1 关注私信	fragileeye 36 楼已添加收藏、 2014-7-13 19:06 0
saloyun 雪币： 265 活跃值： (2473) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 229 粉丝 1 关注私信	saloyun 37 楼 mark，感谢分享。 2014-7-29 11:54 0
测试民工雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	测试民工 38 楼 sfilter框架的C代码中居然使用了try finally，我没记错的话try好像是C++里的关键字吧，不知道这个是怎么个用法 2014-9-5 10:57 0
superkv 雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	superkv 39 楼看楼主简历很给力，MARK之 2014-9-5 17:10 0
xtfpg 雪币： 40 活跃值： (274) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 1 关注私信	xtfpg 40 楼雷锋你好，辛苦了 2014-9-28 17:22 0
JackJoker 雪币： 188 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 414 粉丝 0 关注私信	JackJoker 41 楼真心感谢楼主分享。 2014-12-27 16:29 0
shopinng 雪币： 396 活跃值： (54) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 112 粉丝 0 关注私信	shopinng 42 楼太NB，不能不顶。sfilter技术即使是现在也很是很重要。 2015-4-6 12:17 0
kingwangj 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	kingwangj 43 楼谢谢楼主，代码很好啊 2015-4-6 23:46 0
阿耿雪币： 34 活跃值： (724) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 59 粉丝 1 关注私信	阿耿 44 楼 sFilter怎么过滤文件内存映射呢？还有就是读取一个超过0x8000大小的文件，IRP_MJ_READ只有过滤到一次或者两次，然后就没有进入我注册的回调里面了，很奇怪 2015-7-10 16:21 0
lukarl 雪币： 24 活跃值： (1353) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 160 粉丝 16 关注私信	lukarl 45 楼正好用上，感谢，最新的WDK里面包括7600里面都没有这个的源码了 2015-12-24 10:03 0
cfcl 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	cfcl 46 楼好 2018-8-17 16:57 0
冰雄雪币： 1484 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 47 楼支持加精。楼主可以考虑发一下反过滤驱动的代码 2018-8-17 17:58 0
fengyunabc 雪币： 3700 活跃值： (3817) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 523 粉丝 26 关注私信	fengyunabc 1 48 楼好文章，感谢分享！ 2018-8-20 10:15 0
沉醉星渊雪币： 16 活跃值： (527) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 112 粉丝 0 关注私信	沉醉星渊 49 楼楼主你好，想问一下关于卷影设备的问题，以前写minifilter驱动搞重解析，总会跳出来几个这个卷影设备对象，但是不知道他是干嘛用的，也不知道什么情况下会访问该设备，能不能给解答下 2018-8-22 11:38 0
yirucandy 雪币： 6394 活跃值： (2207) 能力值： ( LV12，RANK：320 ) 在线值：发帖 23 回帖 96 粉丝 97 关注私信	yirucandy 6 50 楼支持一个！ 2019-4-11 13:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

tianhz

发帖

127

回帖

170

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (56) ◀ 1 2 3 ▶
liwenl 雪币： 53 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 0 关注私信	liwenl 26 楼我顶，中国好代码！ 2014-2-25 15:56 0
tianhz 雪币： 557 活跃值： (444) 能力值： ( LV9，RANK：170 ) 在线值：发帖 19 回帖 127 粉丝 31 关注私信	tianhz 3 27 楼 sFilter框架很难吗？怎么还有这么多人怕去使用sFilter。那些做的好的透明加解密软件，很多都是用sFilter来做的。有人说 Windows的 x64位操作系统上，使用sFilter会有问题。是的，确实是有一些小问题，这是因为sFilter框架里面的代码发生变动了。但不是说不能用，不一定非得要用MiniFilter框架。改天，我给大家写一些MiniFilter的文章。然后我再仔细地告诉你大家，什么时候使用sFilter合适，什么时候使用MiniFilter合适。 2014-3-7 19:00 0
tianhz 雪币： 557 活跃值： (444) 能力值： ( LV9，RANK：170 ) 在线值：发帖 19 回帖 127 粉丝 31 关注私信	tianhz 3 28 楼对文件过滤驱动，以及对sFilter的理解程度，我分为2种人：第1种人，就是对sFilter这个工程框架研究还不到2年以上的人，或很少使用sFilter来开发程序。第2种人，就是对 sFilter很熟悉的人，并知道何时使用sFilter、何时使用MiniFilter 2014-3-7 19:05 0
silence刘雪币： 79 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 225 粉丝 0 关注私信	silence刘 29 楼 MRAK一下 2014-3-11 20:33 0
annglf 雪币： 145 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	annglf 30 楼不错。分享。 2014-3-11 23:09 0
liwenl 雪币： 53 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 0 关注私信	liwenl 31 楼楼主，我加载你的代码写的驱动后，devicetree看到绑定sfilter的设备到卷设备，但是我读写操作U盘时进入了SfCreate了例程，没有进入SfDisplayCreateFileName，得不到路径。自己回答：还需要IRP_MJ_READ例程 2014-4-12 17:27 0
zclever 雪币： 67 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 100 粉丝 0 关注私信	zclever 32 楼期待Minifilter文章的放出 2014-4-22 17:11 0
韩梦雅雪币： 1933 活跃值： (113) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 103 粉丝 1 关注私信	韩梦雅 33 楼多谢，多谢！！ 2014-6-6 13:59 0
funnyf 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 75 粉丝 0 关注私信	funnyf 34 楼貌似驱动课程里有这个任务 2014-6-10 10:46 0
二十七❤ 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	二十七❤ 35 楼学习了！谢谢楼主 2014-7-12 22:46 0
fragileeye 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 1 关注私信	fragileeye 36 楼已添加收藏、 2014-7-13 19:06 0
saloyun 雪币： 265 活跃值： (2473) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 229 粉丝 1 关注私信	saloyun 37 楼 mark，感谢分享。 2014-7-29 11:54 0
测试民工雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	测试民工 38 楼 sfilter框架的C代码中居然使用了try finally，我没记错的话try好像是C++里的关键字吧，不知道这个是怎么个用法 2014-9-5 10:57 0
superkv 雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	superkv 39 楼看楼主简历很给力，MARK之 2014-9-5 17:10 0
xtfpg 雪币： 40 活跃值： (274) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 1 关注私信	xtfpg 40 楼雷锋你好，辛苦了 2014-9-28 17:22 0
JackJoker 雪币： 188 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 414 粉丝 0 关注私信	JackJoker 41 楼真心感谢楼主分享。 2014-12-27 16:29 0
shopinng 雪币： 396 活跃值： (54) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 112 粉丝 0 关注私信	shopinng 42 楼太NB，不能不顶。sfilter技术即使是现在也很是很重要。 2015-4-6 12:17 0
kingwangj 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	kingwangj 43 楼谢谢楼主，代码很好啊 2015-4-6 23:46 0
阿耿雪币： 34 活跃值： (724) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 59 粉丝 1 关注私信	阿耿 44 楼 sFilter怎么过滤文件内存映射呢？还有就是读取一个超过0x8000大小的文件，IRP_MJ_READ只有过滤到一次或者两次，然后就没有进入我注册的回调里面了，很奇怪 2015-7-10 16:21 0
lukarl 雪币： 24 活跃值： (1353) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 160 粉丝 16 关注私信	lukarl 45 楼正好用上，感谢，最新的WDK里面包括7600里面都没有这个的源码了 2015-12-24 10:03 0
cfcl 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	cfcl 46 楼好 2018-8-17 16:57 0
冰雄雪币： 1484 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 47 楼支持加精。楼主可以考虑发一下反过滤驱动的代码 2018-8-17 17:58 0
fengyunabc 雪币： 3700 活跃值： (3817) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 523 粉丝 26 关注私信	fengyunabc 1 48 楼好文章，感谢分享！ 2018-8-20 10:15 0
沉醉星渊雪币： 16 活跃值： (527) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 112 粉丝 0 关注私信	沉醉星渊 49 楼楼主你好，想问一下关于卷影设备的问题，以前写minifilter驱动搞重解析，总会跳出来几个这个卷影设备对象，但是不知道他是干嘛用的，也不知道什么情况下会访问该设备，能不能给解答下 2018-8-22 11:38 0
yirucandy 雪币： 6394 活跃值： (2207) 能力值： ( LV12，RANK：320 ) 在线值：发帖 23 回帖 96 粉丝 97 关注私信	yirucandy 6 50 楼支持一个！ 2019-4-11 13:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复