因为没写过FSD过滤驱动,所以拿来练练手,没有什么技术含量。参考自Win内核安全与驱动开发。

先梳理一下大概的流程,就是怎么去绑定设备栈、怎么去过滤各种请求的。

首先肯定是要绑定设备栈的,来看下怎么绑定的设备栈。

先确定绑定的对象是什么,文件系统的设备是分两个部分的,分别是卷设备和控制设备。其中,卷设备是每有一个卷就会对应有一个卷设备,这么说可能不太清楚我画了一张图。

注意,这里的卷设备并不是磁盘的卷设备。而是文件系统生成的,用来对应每一个卷的卷设备。一定要区分开这两者。绑定这些个卷设备也不能够直接进行,因为这些由文件系统生成的卷设备是无名的设备,根本没法直接绑定。这里使用的办法是先绑定FSD的控制设备,当控制设备接收到新建卷设备的请求这时就是可以绑定到卷设备上了。但是,FSD的控制设备也不是直接就可以绑定上的,所以也要想办法去获取下,这里用的是注册文件系统变动回调函数的方法。IoRegisterFsRegistrationChange()函数就是用来注册FSD过滤驱动的,这个回调在文件系统发生变动时会被调用,比如说文件系统被挂载时。回调函数和其他的系统事件通知类似都是有固定格式的,函数原型如下。

 VOID NotifyFunction(PDEVICE_OBJECT DeviceObject,BOOLEAN Type)

 {

    //其中DeviceObject就可以是FSD加载时的控制设备指针,Type参数表示是卸载还是加载

 }

注册了这个回调函数后,在里面对DeviceObject进行一下判断看一下是不是自己想要的文件系统,因为一个电脑上有很多的文件系统。

小结一下,目前为止我们知道了要进行这么一个流程:

分三步才能实现最终绑定。而我们的目的只是为了去绑定FSD卷设备,因为这个卷设备才是真正去接受和处理读写请求的设备。

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegPath)

{

    UNICODE_STRING DeviceName;

    DEVICE_OBJECT  DeviceObject;

    NTSTATUS        Status;

    FilterDriver=DriverObject;//全局变量

    RtlInitUnicodeString(&DeviceName,L"\\FileSystem\\Filters\\DemoDriver");

    Status=IoCreateDevice(DriverObject,

                    ,

                    &DeviceName,

                    FILE_DEVICE_DISK_FILE_SYSTEM,

                    FILE_DEVICE_SECURE_OPEN,

                    FALSE,

                    &DeviceObject);

    if(!NT_STATUS(Status))

    {

        //设备创建失败

        return Status;

    }

    for(i=;i<IRP_MJ_MAXIMUM_FUNCTION)

    {

        DriverObject->MajorFunction[i]=CallNextIrpLocation;

    }

    //DriverObject->MajorFunction[]

    //当前设备绑定到文件系统的控制设备(CDO)上

    //注册一个文件系统变动回调函数

    Status=IoRegisterFsRegistrationChange(DriverObject,FsChangeCallBack);

    if(!NT_STATUS(Status))

    {

        IoDeleteDevice(DeviceObject);

        return Status;

    }

}

我这里把MajorFunctionp[]的分发函数一些给省略了,后面会写出来。再来看一下FsChangeCallBack也就文件系统变动回调函数的内容,这个函数的目的是要绑定FSD控制设备。

 VOID FsChangeCallBack(PDEVICE_OBJECT DeviceObject,BOOLEAN Create)

 {

     NTSTATUS Status;

     UNICODE_STRING CompareName;

     UNICODE_STRING DriverName;

     DEVICE_OBJECT  FilterDevice;

     RtlInitUnicodeString(&CompareName,L"\\FileSystem\\Fs_Rec");

     if(Create)

     {

         //附加当前过滤驱动到CDO上去

         //附加前要注意两点

         //1.是不是自己想要的CDO类型

         //2.是不是文件识别器

         if(IS_WANTED_DEVICE_TYPE(DeviceObject->DriverObject->type))

         {

             //

             GetDriverNameFromDeviceObject(&DriverName,DeviceObject);

             if(!RtlCompareUnicodeString(&DriverName,&CompareName))

             {

                 Status=IoCreateDevice(FilterDriver,

                                 sizeof(DEVICE_EXTENSION),

                                 NULL,

                                 DeviceObject->DeviceType,

                                 ,

                                 FALSE,

                                 &FilterDevice);

                 if(!NT_SUCCESS(Status))

                 {

                     return Status;

                 }

                 FilterDevice->Flags=DeviceObject->Flags;

                 Status=(PVOID)IoAttachDeviceToDeviceStack(FilterDevice,DeviceObject);

                 if(!Status)

                 {

                     IoDeleteDevice(FilterDevice);

                     return Status;

                 }

                 DeviceObject->DeviceExtension->NextDevice=(PDRIVER_OBJECT)Status;

             }

         }

     }

     else

     {

         return ;

     }

     return ;

 }

做了简单的判断:

  1. 判断是挂载文件系统的通知
  2. 判断是想要的文件系统类型
  3. 判断不是文件识别器

这里FSD的控制设备就被绑定上了,然后再去过滤FSD控制设备识别器接受的卷挂载请求。过滤请求这里有一点要注意的,因为当请求发下来时卷设备还没真正创建,所以不能去绑定,要等Irp返回后才能去绑定。这一点跟处理过滤驱动过滤读请求时的处理是很像的,因为读请求下发下来时,还没有正在的读动作,只有等到Irp返回后才能进行过滤。具体的做法就是用完成函数,但是毕竟特殊的一点是书上是用完成函数去激活事件然后在分发例程中等待事件来进行的处理,等待事件后进行绑定。书中的解释是完成函数处于DPC的IRQL,其实我觉得放在完成函数里应该不会有问题吧,又使用了完成函数又使用了等待事件感觉好重复。这种写法以前好像没写过。

 NTSTATUS FilterAddToMount(PDEVICE_OBJECT DeviceObject,PIRP Irp)

 {

     //从DeviceObject中获取VPB,再从VPB中获取卷的信息

     PIO_STACK_LOCATION irpSP;

     PDEVICE_OBJECT RealDevice;

     PDEVICE_OBJECT FilterDevice;

     KEVENT NotifyEvent;

     NTSTATUS Status;

     PVPB vpb;

     irpSP=IoGetCurrentIrpStackLocation(Irp);

     RealDevice=irpSP->Parameters.MountVolume.Vpb->RealDevice;

     IoCreateDevice(FilterDriver,

                     sizeof(DEVICE_EXTENSION),

                     NULL,

                     DeviceObject->DeviceType,

                     ,

                     FALSE,

                     &FilterDevice);

     KeInitializeEvent(&NotifyEvent,

                         NotificationEvent,

                         FALSE);

     IoCopyCurrentIrpStackLocationToNext(Irp);

     IoSetCompletionRoutine(Irp,

                             SetEventRoutine,

                             &NotifyEvent,

                             TRUE,

                             TRUE,

                             TRUE);

     IoCallDriver(Device,Irp);

     KeWaitForSingleObject(&NotifyEvent,

                             Executive,

                             KernelMode,

                             FALSE,

                             NULL);

     if(NT_SUCCESS(irpSP->IoStatus.Status))

     {

         vpb=RealDevice->Vpb;

         Status=IoAttachDeviceToDeviceStack(vpb->DeviceObject,FilterDevice);

     }

     IoCompleteRequest(Irp,IO_NO_INCREMENT);

     return STATUS_SUCCESS;

 }

 NTSTATUS SetEventRoutine(PDEVICE_OBJECT DeviceObject,

                             PIRP Irp,

                             PVOID Context)

 {

     KeSetEvent((PKEVENT)Context,IO_NO_INCREMENT,FALSE);

     return STATUS_MORE_PROCESSING_REQUIRED;

 }

到这里已经绑定了卷设备,这时只要设置好分发函数就可以完成过滤了。

接下来要说的就是具体的针对每种信息的处理了,要分类来说了。

0x0 过滤文件的打开

文件打开请求的主功能号是IRP_MJ_CREATE

首先,在Irp栈中可以获得文件对象指针。FileObject=irpsp->FileObject;目录和文件都是用文件对象表示的,直接是看不出来两者的分别的。irpsp->Parameters.Create的结构如下

struct{

PIO_SECURITY_CONTEXT SecurityContext;

ULONG Options;

USHORT FileAttributes;

USHORT ShareAccess;

ULONG EaLength;

}

注意,打开请求是一种尝试性动作,就是说打开只有当返回成功时才有过滤的意义,获取结果要用完成函数才行。

0x1 过滤文件的删除

文件删除是分三步请求的,所以不是过滤一次就行的。删除的三步如图

打开文件的请求上面已经说过了。设置删除标志是主功能号为IRP_MJ_SET_INFORMATION的设置请求中的一种,其中irpsp->Parameters.SetFile.FileInformationClass为FileDispositionInformation。然后irp->AssociatedIrp.SystemBuffer指向如下结构

typdef struct _FILE_DISPOSITION_INFORMATION{

BOOLEAN DeleteFile;

} FILE_DISPOSITION_INFORMATION;

0x2 过滤文件的路径

我们使用文件系统过滤驱动很多时候都是为了根据路径来进行操作,要不就使用磁盘过滤驱动就可以了完全没必要使用FSD过滤驱动。

(未完待续)

一个文件系统过滤驱动的demo的更多相关文章

  1. 基于Minifilter框架的文件过滤驱动理解

    概述 Minifilter即File System Minifilter Drivers,是Windows为了简化第三方开发人员开发文件过滤驱动而提供的一套框架,这个框架依赖于一个称之为Filter ...

  2. File System Minifilter Drivers(文件系统微型过滤驱动)入门

    问题: 公司之前有一套文件过滤驱动,但是在实施过程中经常出现问题,现在交由我维护.于是在边看代码的过程中,一边查看官方资料,进行整理. 这套文件过滤驱动的目的只要是根据应用层下发的策略来控制对某些特定 ...

  3. [转载]文件过滤驱动 文件系统激活通知 IoRegisterFsRegistrationChange函数实现

    IoRegisterFsRegistrationChange 注册一个文件系统变动回调函数,用来被通知文件系统的激活和注销,激活是指第一次加载文件系统,当一个文件系统已经加载后,当加载一个同种文件系统 ...

  4. 文件过滤驱动实现目录重定向(一)good

    文件过滤驱动拦截的IRP主要包括以下几个:IRP_MJ_CREATE,文件创建操作,文件的任何操作,都是从这里开始的.IRP_MJ_CLEANUP,文件的HANDLE句柄全部关闭会触发这个消息IRP_ ...

  5. Windows 文件过滤驱动经验总结

    Windows 文件过滤驱动经验总结作者:sinister 本文转载自驱动开发网 看了 ChuKuangRen 的第二版<文件过滤驱动开发教程>后,颇有感触.我想,交流都是建立在平等的基础 ...

  6. Windbg对过滤驱动DriverEntry函数下断点技巧

    方法1: 1> 先用DeviceTree.exe查看指定的过滤驱动的Load Address(加载地址) 2> 再用LordPE.EXE查看指定过滤驱动文件的入口点地址 3> 计算过 ...

  7. 写一个EF的CodeFirst的Demo

    写一个EF的CodeFirst的Demo 今天打算写一个关于EF的CodeFirs的一个小Demo.先略说一个EF的三种与数据库,怎么说,叫映射么,好吧,那就这么叫吧,就是一个是ModelFirst就 ...

  8. ------- 软件调试——注销 QQ 过滤驱动设置的事件通知 CallBack (完)-------

    ---------------------------------------------------------------------------------- 本系列的最后一篇演示如何通过调试手 ...

  9. (转)支持 PS/2 与 USB 的键盘过滤驱动(可卸载)

    Author:  sinisterEmail:   sinister@whitecell.orgHomepage:http://www.whitecell.org Date:    2007-02-2 ...

随机推荐

  1. web中的懒加载

    在Web应用程序中,系统的瓶颈常在于系统的响应速度.如果系统响应速度过慢,用户就会出现埋怨情绪,系统的价值也因此会大打折扣.因此,提高系统响应速度,是非常重要的. Web应用程序做的最多就是和后台数据 ...

  2. thinkphp3 行为(behavior)分析和基本使用

    1. 名词解析 官方解析: 来自 http://document.thinkphp.cn/manual_3_2.html#behavior_extend 行为(Behavior)是一个比较抽象的概念, ...

  3. 利用VisualStudio单元测试框架举一个简单的单元测试例子

    本随笔很简单,不涉及mock和stub对象,而是只给出一个简单的利用Visual Studio单元测试框架的最简单例子.如果需要深入理解Unit Test的原理与艺术,请参考<The art o ...

  4. 转:实现OC与JS的简易交互

    oc-->js stringByEvaluatingJavaScriptFromString,其参数是一NSString 字符串内容是js代码(这又可以是一个js函数.一句js代码或他们的组合) ...

  5. [CQOI2009]DANCE跳舞(ISAP写法)

    https://daniu.luogu.org/problemnew/show/3153 #include<queue> #include<cstdio> #include&l ...

  6. Enumeration和Iterator

    首先,Enumeration已经被Iterator取代了..... Enumeration是个接口,不是类,使用时需要具体的实现类. 里面只定义了两个方法: hasMoreElements()和nex ...

  7. Java开发者应该列入年度计划的5件事

    本文写了我今年计划要做的5件事.为了能跟踪计划执行的进度,就把这些事都列了出来.我觉得这些事对其它Java开发者而言也是不错的参考方向. 1.开发一个应用,通过Java来操作一种NoSQL数据库实现存 ...

  8. 【经验分享】URL链接地址最长是多少?

    近期在做一个Hot Fix,其中有个界面在IE6下超链接无法打开,经查是链接地址太长,2161个字节,已经超出ie6,7的长度限制,现把发现此问题的过程分享给大家. ===过程===== 1.万恶的i ...

  9. [php]php总结(2)

    18.数组$arr[null] = 20; //array([]=>20)$arr[] = 20;//默认为下一个下标赋值unset()可以删除数组元素,但不会重建索引array_values( ...

  10. Richard Stallman:让我们关注和尊敬自由软件教父

    1953年,Richard Stallman生于美国纽约曼哈顿区.在度过了并不快乐的童年之后,他在哈佛大学找到了自己的家.在MIT人工智能实验室工作期间,展露出了自己的计算 机天赋.对他来说,开发操作 ...