[已解决]mninfilter里边打开文件蓝屏是怎回事呢-求助问答-看雪-安全社区|安全招聘|kanxue.com

[已解决]mninfilter里边打开文件蓝屏是怎回事呢

2023-12-26 13:01 1929

[已解决]mninfilter里边打开文件蓝屏是怎回事呢

神经蛙555

2023-12-26 13:01

1929

{ IRP_MJ_CREATE,
  0,
  FsFilter1PreOperation,
  FsFilter1PostOperation }

在函数FsFilter1PreOperation里边调用

status = ZwCreateFile(&hFile,
    GENERIC_READ| SYNCHRONIZE,
    &objAttributes,
    &ioStatus,
    NULL,
    FILE_ATTRIBUTE_NORMAL,
    FILE_SHARE_READ,
    FILE_OPEN,
    FILE_SYNCHRONOUS_IO_ALERT,
    NULL,
    0);

或者

//status = FltCreateFile(
//  g_FilterHandle,
//  g_FltObjects->Instance,
//  &hFile,
//  GENERIC_READ| SYNCHRONIZE,
//  &objAttributes,
//  &ioStatus,
//  NULL,
//  FILE_ATTRIBUTE_NORMAL,
//  FILE_SHARE_READ,
//  FILE_OPEN,
//  FILE_SYNCHRONOUS_IO_ALERT,
//  NULL,
//  0,
//  0
//);

就蓝屏了，这是啥原因，请高手说一下

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

最后于 2024-4-9 11:20 被神经蛙555编辑，原因：

上传的附件：

test.zip （13.79kb，2次下载）
test-new.zip （13.32kb，2次下载）

收藏・0

点赞・0

打赏

最新回复 (9)
Roger 雪币： 3096 活跃值： (2444) 能力值： ( LV8，RANK：147 ) 在线值：发帖 3 回帖 70 粉丝 34 关注私信	Roger 1 2023-12-26 17:21 2 楼 0 dump？
神经蛙555 雪币： 197 活跃值： (611) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 15 粉丝 2 关注私信	神经蛙555 2023-12-26 18:05 3 楼 0 使用的虚拟机，32位win7，没有生成dump文件，该设置的都设置过了，就是没有dump文件。我把代码上传了，您有空的话看一下。没什么功能，就是一个学习工程（我想回复2楼，怎么回复不了。。。）最后于 2023-12-26 18:07 被神经蛙555编辑，原因：
MSGG05 雪币： 5938 活跃值： (2572) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 37 粉丝 1 关注私信	MSGG05 2023-12-27 09:11 4 楼 0 下面的倒是没觉得有啥，但是上面那个应该会无限重入然后把栈撑破吧
kanxue 雪币： 32410 活跃值： (18720) 能力值： (RANK：350 ) 在线值：发帖 1827 回帖 15215 粉丝 487 关注私信	kanxue 8 2023-12-27 09:37 5 楼 0 Roger dump？ test
神经蛙555 雪币： 197 活跃值： (611) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 15 粉丝 2 关注私信	神经蛙555 2023-12-27 09:44 6 楼 0 我想在文件打开时计算该文件的md5值，是特定的值，就拦截。那怎么做呢。就是打开文件哪里出错了。我把ZwCreateFile函数换成FltCreateFile函数，这个函数的第二个参数： [in, optional] Instance An opaque instance pointer for the minifilter driver instance that the create request is to be sent to. The instance must be attached to the volume where the file or directory resides. This parameter is optional and can be NULL. If this parameter is NULL, the request is sent to the device object at the top of the file system driver stack for the volume. If it is non-NULL, the request is sent only to minifilter driver instances that are attached below the specified instance. 好像可以避免重入？我使用这个函数后还是蓝屏了。instance来自于FsFilter1InstanceSetup函数里边保存下来的全局变量【刚才又看了看代码，应该是参数传得不对，不应该用全局变量，我把 FLT_PREOP_CALLBACK_STATUS FsFilter1PreOperation ( _Inout_ PFLT_CALLBACK_DATA Data, _In_ PCFLT_RELATED_OBJECTS FltObjects, _Flt_CompletionContext_Outptr_ PVOID *CompletionContext ) 里边的FltObjects传给FltCreateFile。让它使用后后不蓝屏了。很惭愧犯这种低级错误（其实还是因为我对一些概念比较模糊）。】最后于 2023-12-27 10:33 被神经蛙555编辑，原因：
yimingqpa 雪币： 5844 活跃值： (3650) 能力值： ( LV10，RANK：163 ) 在线值：发帖 37 回帖 492 粉丝 47 关注私信	yimingqpa 1 2023-12-27 10:25 7 楼 0 create里调用zwcreate函数，你这考虑重入的问题了吗？
神经蛙555 雪币： 197 活跃值： (611) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 15 粉丝 2 关注私信	神经蛙555 2023-12-27 10:26 8 楼 0 感谢各位高手的回复最后于 2023-12-28 10:31 被神经蛙555编辑，原因：
小旺不正经雪币： 577 活跃值： (47816) 能力值： ( LV2，RANK：10 ) 在线值：发帖 -1 回帖 37 粉丝 0 关注私信	小旺不正经 2023-12-29 08:26 9 楼 0 顶一下
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

神经蛙555

发帖

回帖

RANK

关注

私信

他的文章

[求助]如何阻止windows 应用的粘贴功能

[已解决]mninfilter里边打开文件蓝屏是怎回事呢

[已解决]驱动里怎么实现文件的重定向啊

[已解决]win7文件过滤驱动程序，有微软的数字签名，还是不能运行，说数字签名不对

[已解决]求教，关于minifilter，为什么FilterGetMessage函数会阻塞住不执行

关于我们

联系我们

企业服务

看雪公众号

最新回复 (9)
Roger 雪币： 3096 活跃值： (2444) 能力值： ( LV8，RANK：147 ) 在线值：发帖 3 回帖 70 粉丝 34 关注私信	Roger 1 2023-12-26 17:21 2 楼 0 dump？
神经蛙555 雪币： 197 活跃值： (611) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 15 粉丝 2 关注私信	神经蛙555 2023-12-26 18:05 3 楼 0 使用的虚拟机，32位win7，没有生成dump文件，该设置的都设置过了，就是没有dump文件。我把代码上传了，您有空的话看一下。没什么功能，就是一个学习工程（我想回复2楼，怎么回复不了。。。）最后于 2023-12-26 18:07 被神经蛙555编辑，原因：
MSGG05 雪币： 5938 活跃值： (2572) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 37 粉丝 1 关注私信	MSGG05 2023-12-27 09:11 4 楼 0 下面的倒是没觉得有啥，但是上面那个应该会无限重入然后把栈撑破吧
kanxue 雪币： 32410 活跃值： (18720) 能力值： (RANK：350 ) 在线值：发帖 1827 回帖 15215 粉丝 487 关注私信	kanxue 8 2023-12-27 09:37 5 楼 0 Roger dump？ test
神经蛙555 雪币： 197 活跃值： (611) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 15 粉丝 2 关注私信	神经蛙555 2023-12-27 09:44 6 楼 0 我想在文件打开时计算该文件的md5值，是特定的值，就拦截。那怎么做呢。就是打开文件哪里出错了。我把ZwCreateFile函数换成FltCreateFile函数，这个函数的第二个参数： [in, optional] Instance An opaque instance pointer for the minifilter driver instance that the create request is to be sent to. The instance must be attached to the volume where the file or directory resides. This parameter is optional and can be NULL. If this parameter is NULL, the request is sent to the device object at the top of the file system driver stack for the volume. If it is non-NULL, the request is sent only to minifilter driver instances that are attached below the specified instance. 好像可以避免重入？我使用这个函数后还是蓝屏了。instance来自于FsFilter1InstanceSetup函数里边保存下来的全局变量【刚才又看了看代码，应该是参数传得不对，不应该用全局变量，我把 FLT_PREOP_CALLBACK_STATUS FsFilter1PreOperation ( _Inout_ PFLT_CALLBACK_DATA Data, _In_ PCFLT_RELATED_OBJECTS FltObjects, _Flt_CompletionContext_Outptr_ PVOID *CompletionContext ) 里边的FltObjects传给FltCreateFile。让它使用后后不蓝屏了。很惭愧犯这种低级错误（其实还是因为我对一些概念比较模糊）。】最后于 2023-12-27 10:33 被神经蛙555编辑，原因：
yimingqpa 雪币： 5844 活跃值： (3650) 能力值： ( LV10，RANK：163 ) 在线值：发帖 37 回帖 492 粉丝 47 关注私信	yimingqpa 1 2023-12-27 10:25 7 楼 0 create里调用zwcreate函数，你这考虑重入的问题了吗？
神经蛙555 雪币： 197 活跃值： (611) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 15 粉丝 2 关注私信	神经蛙555 2023-12-27 10:26 8 楼 0 感谢各位高手的回复最后于 2023-12-28 10:31 被神经蛙555编辑，原因：
小旺不正经雪币： 577 活跃值： (47816) 能力值： ( LV2，RANK：10 ) 在线值：发帖 -1 回帖 37 粉丝 0 关注私信	小旺不正经 2023-12-29 08:26 9 楼 0 顶一下
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复