文件系統過濾驅動教程

『壹』 過濾驅動中打開文件時如何避免重入

在處理IRP_MJ_CREATE請求時，過濾驅動可能會使用不同的屬性/許可權等打開這個文件。這種情況經常發生在第二次調用ZwCreatefile時。這會導致生成一個對FSD 過濾驅動的回調(就是重入了).因而，正常的過濾驅動就要有能力檢測這種重入的問題。
There are several ways of dealing with reentrancy ring an IRP_MJ_CREATE operation, and the appropriate solution for your particular driver will depend upon the circumstances. In addition, there are a number of techniques that might work for a single file system filter driver, but that fail when used in a multi-filter environment.
在處理IRP_MJ_CREATE操作過程中，有幾種方法可以處理重入，處理你的驅動(中的重入)的適當方法取決於你的環境。另外，有許多種技術可以在單個文件系統過濾驅動上工作，但在多層過濾的環境下可能會失效。
For Windows XP and newer versions of Windows, the best mechanism for opening a file within the filter is to use . A filter driver can call this function and specify a given device object. The IRP_MJ_CREATE that is built will be passed to the specified device object. This technique avo
ids reentrancy issues and is the best mechanism available for a filter to open a file.
對Windows xp或者更新版的Windows來說，在過濾驅動中打開一個文件的最好方法是使用.文件過濾驅動可以調用這個函數並且指定一個給定的設備對象。
For versions of Windows prior to Windows XP, this mechanism is not available. The best mechanism in this environment is to implement your own functional equivalent of . This can be done by creating a second device object for each device you are filtering.
對Windows xp以前的Windows操作系統,這種方法無效。在這種環境下最好的方法是實現你自己的與等價的功能。這可以通過給你要過濾的設備創建第二個設備對象來實現。
For example, suppose you decide to filter some given file system device object, FSDVolumeDeviceObject. You then create a device object MyFilterDeviceObject and attach it using IoAttachDeviceToDeviceStack (of course, in Windows XP you would use instead). In addition, you create a second device object MyFilterShadowDeviceObject. This device object must be assigned a name ("DeviceMyFilterDevice27", for example). The name can be anything, but it must obviously be unique. In your device extension for your two device objects, you need to track this name, and you need to maintain pointers to the respective device objects (that is, the device extension for MyFilterShadowDeviceObject should point to MyFilterDeviceObject and the device object extension for MyFilterDeviceObject should point to yFilterShadowDeviceObject). Don't forget to set the StackSize field of the device object correctly!)
例如，假設你要過濾某個特定的文件系統設備對象,FSDVolumeDeviceObject(文件系統卷設備對象).這時你要創建一個設備對象MyFilterDeviceObject 並且使用IoAttachDeviceToDeviceStack 函數(在windows xp下使用 )來掛接它。另外，你還要創建第二個設備對象yFilterShadowDeviceObject.這個設備對象必須被指定一個名字(例如"DeviceMyFilterDevice27",注: 這里指的第二個設備對象,即Shadow device object )。名字可以是任意的，但必須唯一的。在這兩個設備的設備擴展結構中,你需要跟蹤這個名字
(注，其實就是做標志，你要知道你當前是處在哪個設備中,是第一個設備對象還是Shadow object )你需要維護一些指向相應的設備對象的指針(也就是說,MyFilterShadowDeviceObject的設備擴展要指向MyFilterDeviceObject，MyFilterDeviceObject的設備擴展對象要指向MyFilterShadowDeviceObject.不要忘了正確設置設備對象的StackSize成員變數。
Now, an IRP_MJ_CREATE request arrives in your filter, specifying MyFilterDeviceObject. To open the file without experiencing reentrancy problems, you call IoCreateFile (or ZwCreateFile). Since you must pass the name of the file being opened, you construct that by using both the name you gave MyFilterShadowDeviceObject and the name that is in the FileObject of the I/O stack Location (IoGetCurrentIr
pStackLocation(Irp)->FileObject).
現在,當IRP_MJ_CREATE 請求到達你的過濾驅動時,指定了 MyFilterDeviceObject.你調用IoCreateFile(或ZwCreateFile) 打開文件就沒有重入的問題了.以後，你必須傳遞這個打開的文件的名字,這個名字是用你設置在MyFilterShadowDeviceObject中的名字和從I/O 堆棧區域中得到的文件對象中的名字一起構造的。
Since you are passing a name in that points to your second device object, the I/O Manager will build the IRP_MJ_CREATE and pass the resulting I/O request packet to your driver, but specifying MyFilterShadowDeviceObject.

當你傳遞一個指向你的第二個設備對象的名字,I/O管理器會構建IRP_MJ_CREATE 並且傳遞I/O請求的結果到你的驅動，但指定了MyFilterShadowDeviceObject.
In your IRP_MJ_CREATE dispatch handler you must detect that this is a "shadow" device object, rather than a typical filter device object. In this case, you should send the IRP_MJ_CREATE operation down to the device being filtered by MyFilterDeviceObject. Indeed, since you should not need to do any further processing, you can use IoSkipCurrentIrpStackLocation (rather than ).
在你的IRP_MJ_CREATE 分發常式處理函數中，你必須檢測它是一個"Sahdow"設備對象而不是是一個典型的過濾設備對象。在這種情況下，你必須將IRP_MJ_CREATE操作下傳到已經被 MyFilterDeviceObject過濾了的設備中。確實,此後你不需要作進一步的處理，你可以用IoSkipCurrentIrpStackLocation函數(不是).

『貳』 請教用文件過濾驅動的方式透明加密linux中的文件

文件系統過濾驅動是一種可選的，為文件系統提供具有附加值功能的驅動程序。文件系統回過濾驅動答是一種核心模式組件，它作為Windows NT執行體的一部分運行。 文件系統過濾驅動可以過濾一個或多個文件系統或文件系統卷的I/O操作。按不同的種類劃分，...

『叄』 linux怎樣載入文件過濾驅動

文件系統過濾驅動是一種可選的，為文件系統提供具有附加值功能的驅動程序。文件系統過濾驅動是一種核心模式組件，它作為Windows NT執行體的一部分運行。
文件系統過濾驅動可以過濾一個或多個文件系統或文件系統卷的I/O操作。按不同的種類劃分，文件系統過濾驅動可以分成日誌記錄、系統監測、數據修改或事件預防幾類。通常，以文件系統過濾驅動為核心的應用程序有防毒軟體、加密程序、分級存儲管理系統等。
二、文件系統過濾驅動並不是設備驅動
設備驅動是用來控制特定硬體I/O設備的軟體組件。例如：DVD存儲設備驅動是一個DVD驅動。
相反，文件系統過濾驅動與一個或多個文件系統協同工作來處理文件I/O操作。這些操作包括：創建、打開、關閉、枚舉文件和目錄；獲取和設置文件、目錄、卷的相關信息；向文件中讀取或寫入數據。另外，文件系統過濾驅動必須支持文件系統特定的功能，例如緩存、鎖定、稀疏文件、磁碟配額、壓縮、安全、可恢復性、還原點和卷裝載等。
下面兩部分詳細的闡述了文件系統過濾驅動和設備驅動之間的相似點與不同點。

三、安裝文件系統過濾驅動
對於Windows XP和後續操作系統來說，可以通過INI文件或安裝應用程序來安裝文件系統過濾驅動（對於Windows 2000和更早的操作系統，過濾驅動通常通過服務控制管理器Service Control Manager來進行安裝）。
四、初始化文件系統過濾驅動
與設備驅動類似，文件系統過濾驅動也使用DriverEntry常式進行初始化工作。在驅動程序載入後，載入驅動相同的組件將通過調用驅動程序的 DriverEntry常式來對驅動程序進行初始化工作。對於文件系統過濾驅動來說，載入和初始化過濾驅動的系統組件為I/O管理器。
DriverEntry常式運行於系統線程上下文中，其IRQL = PASSIVE_LEVEL。本常式可分頁，詳細信息參見MmLockPagableCodeSection。
DriverEntry常式定義如下：
NTSTATUS
DriverEntry (
IN PDRIVER_OBJECT DriverObject,
IN PUNICODE_STRING RegistryPath
)
本常式有兩個輸入參數。第一個參數，DriverObject為系統在文件系統過濾驅動載入時所創建的驅動對象；第二個參數，RegistryPath為包含驅動程序注冊鍵路徑的Unicode字元串。
文件系統過濾驅動按如下順序執行DriverEntry常式：

01、創建控制設備對象：

文件系統過濾驅動的DriverEntry常式通常以創建控制設備對象作為該常式的起始。創建控制設備對象的目的在於允許應用程序即使在過濾驅動載入到文件系統或卷設備對象之前也能夠直接與過濾驅動進行通信。
注意：文件系統也會創建控制設備對象。當文件系統過濾驅動將其自身附加到文件系統之上時（而不是附加到某一特定文件系統卷），過濾驅動同樣將其自身附加到文件系統的控制設備對象之上。

在FileSpy驅動範例中，控制設備對象按如下方式創建：

RtlInitUnicodeString(&nameString, FILESPY_FULLDEVICE_NAME);
status = IoCreateDevice(
DriverObject, //DriverObject
0, //DeviceExtensionSize
&nameString, //DeviceName
FILE_DEVICE_DISK_FILE_SYSTEM, //DeviceType
FILE_DEVICE_SECURE_OPEN, //DeviceCharacteristics
FALSE, //Exclusive
&gControlDeviceObject); //DeviceObject

RtlInitUnicodeString(&linkString, FILESPY_DOSDEVICE_NAME);
status = IoCreateSymbolicLink(&linkString, &nameString);

與文件系統不同，文件系統過濾驅動並不是一定要為其控制設備對象命名。如果傳遞給DeviceName參數一個非空（Non-NULL）值，該值將作為控制設備對象的名稱。接下來，在前面的代碼範例中DriverEntry可以調用IoCreateSymbolicLink常式來將該對象的核心模式名稱與應用程序可見的用戶模式名稱關聯到一起（同樣可以通過調用IoRegisterDeviceInterface來使設備對象對應用程序可見）。
注意：由於控制設備對象是唯一不會附加到設備堆棧中的設備對象，因此控制設備對象是唯一的可安全命名的設備對象。由此，是否為文件系統過濾驅動的控制設備對象是否命名是可選的。
注意：文件系統的控制設備對象必須命名。過濾設備對象從不命名。

『肆』 如何在文件過濾驅動中啟動一個應用層進程

一般來說，那些復在你電腦上安裝的應用製程序在後台運行的進程是可以關閉的，而那些windows自動運行的服務程序/進程是萬萬不可關閉的（可以在進程中的描述一欄中找到）。但是，這並不意味著所有後台運行的應用程序/進程（你所安裝的）都可以關閉，比如的數據傳輸通道，殺毒的後台防護程序等等，這些也不能關閉。還有一些進程，比如音效卡等。其實，如果你是想關閉某個後台程序以用來釋放內存的話，可以用殺毒自帶的釋放內存工具來實現，一般來說，還是不要直接通過任務管理器關閉後台進程，這樣可能會讓電腦崩潰，也可能會丟失那些被你關閉的應用程序的數據。

『伍』 如何卸載反病毒文件系統過濾驅動

您好：

這樣的情況可能是因為您以前安裝的安全軟體並沒有徹底專卸載干凈導致的軟體沖突屬，建議您使用騰訊電腦管家的軟體管理裡面的卸載功能將以前安裝的安全軟體卸載干凈，並使用垃圾清理功能清理完卸載殘留以後再安裝新的安全軟體就可以了，並建議您使用騰訊電腦管家保護您的電腦，您可以點擊這里下載最新版的騰訊電腦管家：騰訊電腦管家最新版下載

騰訊電腦管家企業平台：http://..com/c/guanjia/

『陸』 如何構造一個簡單的USB過濾驅動程序

一、基本原理 我們知道，WDM（和KDM）是分層的，在構造設備棧時，IO管理器可以使一個設備對象專附加到屬另外一個初始驅動程序創建的設備對象上。與初始設備對象相關的驅動程序決定的IRP,也將被發送到附加的設備對象相關的驅動程序上。

『柒』 磁碟過濾驅動怎麼配合writefile使用

1.磁碟過濾：
SCSIOP_MODE_SENSE 請求做處理，代碼不多，但是這個過濾看起來不和諧。

2.卷過濾： IOCTL_DISK_IS_WRITABLE,IOCTL_DISK_SET_PARTITION_INFO 返回STATUS_MEDIA_WRITE_PROTECTED

『捌』 《Windows文件系統過濾驅動開發教程(第二版)》最新txt全集下載

Windows文件系統過濾驅動開發教程(第二版) txt全集小說附件已上傳到網路網盤，點擊免費下載：

『玖』 如何設計單機版的文件過濾驅動

透明指的是用戶在操作的時候，雖然後台在自動的進行加解密，但是用戶根本就不知道加密內的存在，就像中間容隔了一層透明的玻璃一樣。透明的好處在於不改變用戶的操作，一切都和加密之前一樣，甚至在有些企業安裝加密後都無需通知所有的員工，就像加密並不存在一樣，只是加密文件到了企業安全環境的外部才會發現文件無法打開。透明的程度也是加密軟體一個很重要的方面，例如：正在編輯一個Word文件時，能否拷貝或者使用其他程序來讀取這個文件，如果不能那麼這里就不夠透明，在一些PDM的文檔管理軟體中就是文件在一個應用程序打開狀態時另一個應用程序進行檢入。透明的程度越高，用戶使用時就越是和未加密時一樣，透明程序越低用戶就會發現有越多的操作受到限制，和加密前有較大的差異。

『拾』 怎麼用代碼實現WDM文件過濾驅動安裝

為了讓這個驅動被系統載入，必須創建一個inf文件。由於是使用現成的例子，因此這一步也可以省下來。直接右鍵點擊例子中的inf文件，在彈出的菜單中選擇「安裝」即可。
這里要注意的是，inf中的StartType參數，它可以控制驅動被載入的方式：
SERVICE_AUTO_START (2) 安全模式下不會自動載入 SERVICE_BOOT_START (0) 在系統安全模式下啟動時 驅動也會自動載入
SERVICE_DEMAND_START(3) 則驅動不會自動載入
因為是測試，我使用SERVICE_DEMAND_START，即由手動載入驅動。例子是miniFilter驅動，因此可以在命令提示行中用「fltmc load 驅動名稱」來載入，相應的卸載是「fltmc unload」。如果是其它驅動，則用"net start 驅動名稱"來載入，相應的卸載是"net stop 驅動名稱"。注意驅動名稱不是文件名，而是inf中[Settings]的ServiceName值。驅動要發布時，也可以通過CreateService & StartService API來動態安裝。
Inf文件的寫法，可以參考例子，或者拿現成的改一改。下面的是摘自驅動開發網的
XiangXiangRen整理的Inf文件，改起來比較方便，謝謝XiangXiangRen