Windows文件系统过滤驱动开发教程(第二版)资源-CSDN文库

共1个文件

pdf：1个

Minifilter

需积分: 44 147 浏览量 2018-07-03 09:34:51 上传评论 1 收藏 497KB RAR 举报

资源推荐

资源详情

资源评论

收起资源包目录

Minifilter驱动开发教程-新版.rar （1个子文件）

Minifilter驱动开发教程-新版.pdf 530KB

Windows 文件系统过滤驱动开发教程（第二版）

楚狂人-2007-上海 (MSN:walled_river@hotmail.com)

-1. 改版序 ...................................................................................................................................................................................... 2

0. 作者，楚狂人自述.................................................................................................................................................................... 2

1. 概述，钻研目的和准备............................................................................................................................................................ 2

2 . hello world,驱动对象与设备对象............................................................................................................................................ 4

3 .分发例程,fast io.......................................................................................................................................................................... 6

3.5 附：陆麟关于 fastio 的简述.................................................................................................................................................... 9

4.设备栈,过滤,文件系统的感知.................................................................................................................................................. 10

5.绑定 FS CDO,文件系统识别器，设备扩展 ........................................................................................................................... 13

6.IRP 的传递，File System Control Dispatch .......................................................................................................................... 16

7.准备绑定卷，IRP 完成函数,中断级 ....................................................................................................................................... 18

8.绑定卷的完成............................................................................................................................................................................ 21

9 读写操作的捕获与分析............................................................................................................................................................ 26

10.读请求的完成.......................................................................................................................................................................... 28

11.文件和目录的生成打开，关闭与删除 .................................................................................................................................. 31

12 自己发送 Irp 完成读请求 ..................................................................................................................................................... 33

13 如何实现路径过滤................................................................................................................................................................. 35

14 避免重入................................................................................................................................................................................. 39

15 结语与展望............................................................................................................................................................................. 42

15.5 附:微端口文件过滤驱动..................................................................................................................................................... 43

-1. 改版序

大约两年以前我在驱动开发网上发表了一组描述如何开发 Windows 文件系统过滤驱动的文章。非常庆幸这些文章能

给大家带来帮助。

原本的文章中我使用了自己编写的代码。我不打算在这里论述代码风格的优劣并发起一场辩论，无可怀疑的是，读者们

大多喜欢看到类似微软范例的代码。为此我把文章中的代码换成微软标准的文件过滤驱动范例 sfilter 的代码。赠于喜欢此

书的读者和驱动开发的后来者们。

网友们帮我整理的原版已经非常流行。为了区别起见，称为第二版。

0. 作者，楚狂人自述

我感觉 Windows 文件系统驱动的开发能找到的资料比较少。为了让技术经验不至于遗忘和引起大家交流的兴趣我以

我的工作经验撰写本教程。

我的理解未必正确，有错误的地方望多多指教。我在一家软件公司从事安全软件相关的开发工作。我非常庆幸和许多优

秀的同事一起工作,特别要提到 wowocock,陆麟,jiurl 和曾经的同事 Cardmagic.非常乐意与您交流。有问题欢迎与我

联系。邮箱为 MFC_Tan_Wen@163.com。

对于这本教程，您可以免费获得并随意修改，向任何网站转贴。但是不得使用任何内容作为任何赢利出版物的全部或者

部分。

1. 概述，钻研目的和准备

我经常在碰到同行需要开发文件系统驱动。windows 的 pc 机上以过滤驱动居多。其目的不外乎有以下几种：

一是用于防病毒引擎。希望在系统读写文件的时候，捕获读写的数据内容，然后检测其中是否含有病毒代码。

二是用于文件系统的透明附加功能。比如希望在文件写过程中对数据进行加密，数据个性化等等过程，针对特殊的过程

进行特殊处理，增加文件系统效率等。

三一些安全软件使用文件过滤进行数据读写的控制，作为防信息泄漏软件的基础。

四也有一些数据安全厂家用来进行数据备份与灾难恢复。

如果你刚好有以上此类的要求，你可以阅读本教程。

文件系统驱动是 windows 系统中最复杂的驱动种类之一。不能对 ifsddk 中的帮助抱太多希望，以我的学习经验看

来，文件系统相关的 ddk 帮助极其简略，很多重要的部分仅仅轻描淡写的带过。如果安装了 ifsddk，应该阅读

src\filesys\OSR_docs 下的文档。而不仅仅是 ddk 帮助。

文件系统驱动开发方面的书籍很少。中文资料我仅仅见过侯捷翻译过的一本驱动开发的书上有两三章涉及，也仅仅是只

能用于 9x 的 vxd 驱动。但我们付出巨大努力所理解的 vxd 架构如今已经彻底作古。NT 文件系统我见过一本英文书。我

都不记得这两本书的书名了。

如果您打算开发 9x 或者 nt 文件系统驱动,建议你去网上下载上文提及的书。那两本书都有免费的电子版本下载。如果

你打算开发 Windows2000\WindowsXP\Window2003 的文件系统驱动，你可以阅读本教程。虽然本教程仅仅讲

述文件系统过滤驱动。但是如果您要开发一个全新的文件系统驱动的话，本教程依然对你有很大的帮助。至少便于你理解文

件系统驱动的一些概念。

学习文件系统驱动开发之前，应该在机器上安装 ifsddk。ddk 版本越高级，其中头文件中提供的系统调用也越多。一

般的说用高版本的 ifsddk 都可以编译在低版本操作系统上运行的驱动（使用对应的编译环境即可）。ifsddk 可以在某些

ftp 上免费下载。请不要发邮件向我索取。

我的使用的是 ifs ddk for 2003,具体版本号为 3790,但是我实际用来开发的两台机器有一台是 windows 2000，

另一台是 windows 2003.我尽量使我编译出来的驱动，可以在 2000\xp\2003 三种系统上都通过测试。

同时最新的测试表明，在 Vista 系统上，sfilter 也可以正常的运行。

安装配置 ddk 和在 vc 中开发驱动的方法网上有很多的介绍。ifsddk 安装之后，src 目录下的 filesys 目录下有文件

系统驱动的示例。阅读这些代码你就可以快速的学会文件系统驱动开发。 filter 目录下的 sfilter 是一个文件系统过滤驱

动的例子。另一个 filespy 完全是用这个例子的代码加工得更复杂而已。本文为觉得代码难懂的读者提供一个可能的捷径。

如何用 ddk 编译这个例子请自己查看相关的资料。

文件系统过滤驱动编译出来后你得到的是一个扩展名为 sys 的文件。同时你需要写一个.inf 文件来实现这个驱动的安

装。我这里不讨论.inf 文件的细节，你可以直接用 sfilter 目录下的 inf 文件修改。以后我们将提供一个通用的 inf 文件.

对 inf 文件点鼠标右键弹出菜单选择“安装”，即可安装这个过滤驱动。但是必须重新启动系统才生效。这是静态加载的

情况。静态加载后如果重启后蓝屏无法启动，可以用其他方式引导系统后到 system32\drivers 目录下删除你的.sys 文

件再重启即可。安全模式无法使你避免蓝屏。所以我后来不得不在机器上装了两个系统。双系统情况下，一个系统崩溃了用

另一个系统启动，删除原来的驱动即可。

同时 xp 和 2003 版本的驱动大多可以动态加载。调试更加快捷，也请阅读相关的资料。

如果要调试代码，请安装 softice 或者 windbg，并阅读 windows 内核调试的相关文档。

2 . hello world,驱动对象与设备对象

这里所说的驱动对象是一种数据结构，在 DDK 中名为 DRIVER_OBJECT 。任何驱动程序都对应一个

DRIVER_OBJECT.如何获得本人所写的驱动对应的 DRIVER_OBJECT 呢？驱动程序的入口函数为 DriverEntry,因

此，当你写一个驱动的开始，你会写下如下的代码：

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING

RegistryPath )

{

}

这个函数就相当与喜欢 c 语言的你所常用的 main().IN 是无意义的宏，仅仅表明后边的参数是一种输入，而对应的

OUT 则代表这个参数是一种返回。这里没有使用引用,因此如果想在参数中返回结果，一律传入指针。

DriverObject 就是你所写的驱动对应的 DRIVER_OBJECT, 是系统在加载你的驱动时候所分配的。

RegisteryPath 是专用于你记录你的驱动相关参数的注册表路径。这两者都由系统分配并通过这两个参数传递给你。

DriverObject 重要之处，在于它拥有一组函数指针，称为 dispatch functions.

开发驱动的主要任务就是亲手撰写这些 dispatch functions.当系统用到你的驱动，会向你的驱动发送 IRP（这是

windows 所有驱动的共同工作方式）。你的任务是在 dispatch function 中处理这些请求。你可以让 irp 失败，也可以

成功返回，也可以修改这些 irp，甚至可以自己发出 irp。

设备对象则是指 DEVICE_OBJECT.下边简称 DO.

但是实际上每个 irp 都是针对 DO 发出的。只有针对由该驱动所生成的 DO 的 IRP, 才会发给该驱动来处理。具体的

分发函数，决定于 DO 下的 DriverObject 域。

当一个应用程序打开文件并读写文件的时候，windows 系统将这些请求变成 irp 发送给文件系统驱动。

文件系统过滤驱动将可以过滤这些 irp.这样，你就拥有了捕获和改变文件系统操作的能力。

象 Fat32,NTFS 这样的文件系统(File System,简称 FS)，可能生成好几种设备。首先文件系统驱动本身往往生成

一个控制设备（CDO）.这个设备的主要任务是修改整个驱动的内部配置。因此一个 Driver 只对应一个 CDO.

另一种设备是被这个文件系统 Mount 的 Volume。一个 FS 可能有多个 Volume,也可能一个都没有。解释一下，如

果你有 C:,D:,E:,F:四个分区。C:,D:为 NTFS,E:,F:为 Fat32.那么 E:,F:则是 Fat 的两个 Volume 设备对象.

实际上"C:"是该设备的符号连接（Symbolic Link）名。而不是真正的设备名。可以打开 Symbolic Links Viewer,

能看到：

C: \Device\HarddiskVolume1

因此该设备的设备名为“\Device\HarddiskVolume1”.

这里也看出来，文件系统驱动是针对每个 Volume 来生成一个 DeviceObject,而不是针对每个文件的。实际上对文

件的读写的 irp,都发到 Volume 设备对象上去了。并不会生成一个“文件设备对象”。

掌握了这些概念的话，我们现在用简单的代码来生成我们的 CDO,作为我们开发文件系统驱动的第一步牛刀小试。

NTSTATUS

DriverEntry(

IN PDRIVER_OBJECT DriverObject,

IN PUNICODE_STRING RegistryPath

)

{

// 定义一个 Unicode 字符串。

UNICODE_STRING nameString;

RtlInitUnicodeString( &nameString, L"\\FileSystem\\Filters\\SFilter" );

// 生成控制设备

status = IoCreateDevice( DriverObject,

0, //has no device extension

&nameString,

FILE_DEVICE_DISK_FILE_SYSTEM,

FILE_DEVICE_SECURE_OPEN,

FALSE,

&gSFilterControlDeviceObject );

// 如果因为路径没找到而生成失败

if (status == STATUS_OBJECT_PATH_NOT_FOUND) {

// 这是因为一些低版本的操作系统没有\FileSystem\Filters\这个目录

// 如果没有，我们则改变位置，生成到\FileSystem\下.

RtlInitUnicodeString( &nameString, L"\\FileSystem\\SFilterCDO" );

status = IoCreateDevice( DriverObject,

0,&nameString,

FILE_DEVICE_DISK_FILE_SYSTEM,

FILE_DEVICE_SECURE_OPEN,

FALSE,

&gSFilterControlDeviceObject );

// 成功后，用 KdPrint 打印一个 log.

if (!NT_SUCCESS( status )) {

KdPrint(( "SFilter!DriverEntry: Error creating control device object \"%wZ\",

status=%08x\n", &nameString, status ));

return status;

}

} else if (!NT_SUCCESS( status )) {

// 失败也打印一个。并直接返回错误

KdPrint(( "SFilter!DriverEntry: Error creating control device object \"%wZ\",

status=%08x\n", &nameString, status ));

}

return status;

}

sfilter.sys.把这个文件与前所描述的 inf 文件同一目录，按上节所叙述方法安装。

这个驱动不起任何作用，但是你已经成功的完成了"hello world".

初次看这些代码可能有一些慌乱。但是只要注意了以下几点，你就会变得轻松了:

1）习惯使用 UNICODE_STRING 字符串。这些字符串用 Rtl…系列的函数来操作。你应该阅读 DDK 帮助，然

评论收藏

内容反馈

L1JZX

粉丝: 1
资源: 16

Windows 文件系统过滤驱动开发教程(第二版)

最新资源

Windows 文件系统过滤驱动开发教程(第二版)

Windows文件系统过滤驱动开发教程第二版

Windows文件系统过滤驱动开发教程(第二版)

《Windows 文件系统过滤驱动开发教程（第二版）》

Windows文件系统过滤驱动开发教程(第二版)和文件监控FileMon源码

Windows文件系统过滤驱动开发教程(第二版).pdf

文件过滤系统框架 Windows文件系统过滤驱动开发教程

文件过滤驱动中文件路径的获取

文件系统过滤驱动开发教程

文件过滤驱动用于windows驱动学习

windows文件系统驱动(随书源码)

华溢收藏-Windows文件系统过滤驱动开发-谭文

Windows网络和文件系统驱动开发相关

《楚狂人Windows驱动编程基础教程》

MiniFilter教程

Windows文件系统过滤驱动开发

文件系统过滤驱动教程

最新资源