windows驱动写日志，有Zw和Flt,记录操作某一文件夹的进程名_windows驱动写日志,windows驱动日志资源-CSDN文库

共4个文件

h：1个

sources：1个

cpp：1个

windows驱动

进程全路径

3星 · 超过75%的资源需积分: 47 6 浏览量 2018-12-16 17:27:23 上传评论 4 收藏 11KB ZIP 举报

在Windows驱动程序开发中，日志记录是一种常见的调试和监控技术。通过写日志，开发者可以追踪系统行为，尤其是在内核层面上的操作，如文件系统的交互。标题提到的"windows驱动写日志，有Zw和Flt"，指的是两种不同的方法来在驱动程序中实现日志功能，即使用Zw系列函数和Filter Manager（Flt）API。 1. **Zw系列函数**： Zw系列函数是Windows NT内核提供的低级别系统调用接口，用于在内核模式下执行各种操作。在驱动程序中，我们可以利用`ZwCreateFile`、`ZwWriteFile`等函数创建和写入日志文件。例如，当驱动检测到对特定文件夹的操作时，可以调用`ZwQueryInformationProcess`获取发起该操作的进程信息，包括进程ID和全路径，然后使用`ZwWriteFile`将这些信息写入日志文件。 2. **Flt系列函数（Filter Manager）**： Flt系列函数是Windows提供的一个更高级别的过滤驱动编程模型，主要用于文件系统过滤驱动。在Minifilter驱动中，可以通过注册预操作和后操作回调函数来拦截文件系统操作。例如，`FltParseParametersCreate`可以解析创建文件的参数，从中获取目标文件路径；`FltGetFileNameInformation`则能帮助获取相关进程的信息。在预操作回调中，如果发现操作目标是特定文件夹，可以使用`FltWriteFile`记录相关信息到日志。 3. **获取进程全路径**：在Windows驱动中，获取进程全路径通常需要通过`PsLookupProcessByProcessId`函数得到进程对象，再调用`PsGetProcessImageFileName`获取进程的映像文件名。接着，可以结合` ZwQueryInformationProcess`或`NtQueryInformationProcess`获得进程的命令行参数，从中解析出完整的进程路径。 4. **具体实现**：在minifilter驱动中，你可以创建一个全局的筛选器实例，注册对指定文件夹的预操作回调。在回调函数中，检查操作类型（如IRP_MJ_CREATE、IRP_MJ_SET_INFORMATION等），如果涉及目标文件夹，就收集进程信息并写入日志。同样，对于Zw系列函数，你需要在适当的地方插入日志记录代码。 5. **日志格式和安全**：日志文件应设计合理的格式，如包含时间戳、操作类型、进程信息等。同时，考虑到安全性和稳定性，驱动程序的日志功能应避免阻塞系统其他操作，可以采用异步写入或缓冲策略。此外，日志文件的位置可能需要有适当的权限控制，以免被非授权访问。 6. **调试和分析**：记录的日志可以帮助我们理解系统行为，特别是在处理异常或性能问题时。通过分析日志，我们可以发现哪些进程频繁访问特定文件夹，或者找出可能导致问题的操作序列。 Windows驱动程序中的日志记录是一个重要的功能，它结合了Zw和Flt系列函数，能够提供详细的系统活动信息，特别是关于进程对特定文件夹的操作。实现这样的功能需要对Windows内核编程有深入的理解，并注意确保其稳定性和安全性。

资源推荐

资源详情

资源评论

收起资源包目录

writelog.zip （4个子文件）

writelog

writelog.cpp 19KB

objchk_win7_x86

i386

writelog.sys 10KB

stdafx.h 3KB

sources 159B

#include "stdafx.h" #ifdef __cplusplus extern "C" NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath); #endif LIST_ENTRY logListHeader; //minifilter 句柄 PFLT_FILTER gFilterHandle; KEVENT s_Event; BOOLEAN FLAG = TRUE; //进程名的偏移 ULONG ProcessNameOffset = 0; #ifdef __cplusplus extern "C" { #endif NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath) { NTSTATUS status; KdPrint(("DriverEntry \n")); InitializeListHead(&logListHeader); //注册 status=FltRegisterFilter(DriverObject, &FilterRegistration, &gFilterHandle); if (NT_SUCCESS(status)) { //启动过滤器 status=FltStartFiltering(gFilterHandle); if(!NT_SUCCESS(status)) { FltUnregisterFilter(gFilterHandle); } } KeInitializeEvent(&s_Event,SynchronizationEvent,FALSE); StartThread(); return STATUS_SUCCESS; } #ifdef __cplusplus }; // extern "C" #endif NTSTATUS FilterUnload(__in FLT_FILTER_UNLOAD_FLAGS Flags) { FLAG = FALSE; FltUnregisterFilter(gFilterHandle); KdPrint(("卸载成功\n")); return STATUS_SUCCESS; } FLT_PREOP_CALLBACK_STATUS preRead( __inout PFLT_CALLBACK_DATA Data, __in PCFLT_RELATED_OBJECTS FltObjects, __deref_out_opt PVOID *CompletionContext ) { NTSTATUS status; PFLT_FILE_NAME_INFORMATION nameInfo; UNICODE_STRING Directory_Of_Bait_files; UNICODE_STRING log_msg; UNREFERENCED_PARAMETER( FltObjects ); UNREFERENCED_PARAMETER( CompletionContext ); PAGED_CODE(); //检查中断级 if (KeGetCurrentIrql() >= DISPATCH_LEVEL) { return FLT_PREOP_SUCCESS_NO_CALLBACK; } __try { //判断是否文件夹 BOOLEAN isDir; status = FltIsDirectory(FltObjects->FileObject,FltObjects->Instance,&isDir); if (NT_SUCCESS(status)) { //文件夹直接跳过 if (isDir) { return FLT_PREOP_SUCCESS_NO_CALLBACK; //是文件夹直接返回失败 } else { status = FltGetFileNameInformation( Data, FLT_FILE_NAME_NORMALIZED |FLT_FILE_NAME_QUERY_DEFAULT, &nameInfo ); if (NT_SUCCESS( status )) { FltParseFileNameInformation( nameInfo ); RtlInitUnicodeString( &Directory_Of_Bait_files, L"\\Device\\HarddiskVolume3\\"); if (RtlPrefixUnicodeString(&Directory_Of_Bait_files,&nameInfo->Name,TRUE)) { //进入了我想要监控的目录 PEPROCESS obProcess = NULL; HANDLE hProcess; UNICODE_STRING fullPath; obProcess = IoThreadToProcess(Data->Thread); hProcess = PsGetProcessId(obProcess); fullPath.Length = 0; fullPath.MaximumLength = 520; fullPath.Buffer = (PWSTR)ExAllocatePoolWithTag(NonPagedPool,520,PROCESS_FULLPATH); if (fullPath.Buffer == NULL) { FltReleaseFileNameInformation( nameInfo ); return FLT_PREOP_SUCCESS_NO_CALLBACK; } status = GetProcessImageName(hProcess,&fullPath); if (!NT_SUCCESS(status)) { FltReleaseFileNameInformation( nameInfo ); return FLT_PREOP_SUCCESS_NO_CALLBACK; } UNICODE_STRING tmpTail; RtlInitUnicodeString( &tmpTail, L";\r\n"); //用来结尾 ULONG len = fullPath.MaximumLength + nameInfo->Name.MaximumLength + tmpTail.MaximumLength; PLOG_LIST logListNode; logListNode = (PLOG_LIST)ExAllocatePool(NonPagedPool,sizeof(LOG_LIST)); if (logListNode == NULL) { KdPrint(("队列申请失败 \n")); } logListNode->msg.Buffer = (PWCHAR)ExAllocatePoolWithTag(NonPagedPool, len, LOG_MSG); logListNode->msg.Length = 0; logListNode->msg.MaximumLength = len; RtlAppendUnicodeStringToString(&logListNode->msg,&fullPath); ExFreePoolWithTag(fullPath.Buffer,PROCESS_FULLPATH); //在将进程全路径赋值给要保存的消息后将内存释放 RtlAppendUnicodeToString(&logListNode->msg,L";"); RtlAppendUnicodeStringToString(&logListNode->msg,&nameInfo->Name); RtlAppendUnicodeStringToString(&logListNode->msg,&tmpTail); //KdPrint(("&logListNode->msg = %wZ\n",&logListNode->msg)); InsertTailList(&logListHeader,&logListNode->listNode);//插入队尾 KeSetEvent(&s_Event,IO_NO_INCREMENT,FALSE); } FltReleaseFileNameInformation( nameInfo ); } }//else }//判断是否是文件夹 }//__try __except(EXCEPTION_EXECUTE_HANDLER) { DbgPrint("NPPreCreate EXCEPTION_EXECUTE_HANDLER\n"); } return FLT_PREOP_SUCCESS_NO_CALLBACK; } FLT_PREOP_CALLBACK_STATUS preWrite( __inout PFLT_CALLBACK_DATA Data, __in PCFLT_RELATED_OBJECTS FltObjects, __deref_out_opt PVOID *CompletionContext ) { NTSTATUS status; PFLT_FILE_NAME_INFORMATION nameInfo; UNICODE_STRING Directory_Of_Bait_files; UNICODE_STRING log_msg; UNREFERENCED_PARAMETER( FltObjects ); UNREFERENCED_PARAMETER( CompletionContext ); PAGED_CODE(); //检查中断级 if (KeGetCurrentIrql() >= DISPATCH_LEVEL) { return FLT_PREOP_SUCCESS_NO_CALLBACK; } __try { //判断是否文件夹 BOOLEAN isDir; status = FltIsDirectory(FltObjects->FileObject,FltObjects->Instance,&isDir); if (NT_SUCCESS(status)) { //文件夹直接跳过 if (isDir) { return FLT_PREOP_SUCCESS_NO_CALLBACK; //是文件夹直接返回失败 } else { status = FltGetFileNameInformation( Data, FLT_FILE_NAME_NORMALIZED | FLT_FILE_NAME_QUERY_DEFAULT, &nameInfo ); if (NT_SUCCESS( status )) { FltParseFileNameInformation( nameInfo ); RtlInitUnicodeString( &Directory_Of_Bait_files, L"\\Device\\HarddiskVolume3\\"); if (RtlPrefixUnicodeString(&Directory_Of_Bait_files,&nameInfo->Name,TRUE)) { //进入了我想要监控的目录 PEPROCESS obProcess = NULL; HANDLE hProcess; UNICODE_STRING fullPath; obProcess = IoThreadToProcess(Data->Thread); hProcess = PsGetProcessId(obProcess); fullPath.Length = 0; fullPath.MaximumLength = 520; fullPath.Buffer = (PWSTR)ExAllocatePoolWithTag(NonPagedPool,520,PROCESS_FULLPATH); if (fullPath.Buffer == NULL) { FltReleaseFileNameInformation( nameInfo ); return FLT_PREOP_SUCCESS_NO_CALLBACK; } status = GetProcessImageName(hProcess,&fullPath); if (!NT_SUCCESS(status)) { FltReleaseFileNameInformation( nameInfo ); return FLT_PREOP_SUCCESS_NO_CALLBACK; } UNICODE_STRING tmpTail; RtlInitUnicodeString( &tmpTail, L";\r\n"); //用来结尾 ULONG len = fullPath.MaximumLength + nameInfo->Name.MaximumLength + tmpTail.MaximumLength; PLOG_LIST logListNode; logListNode = (PLOG_LIST)ExAllocatePool(NonPagedPool,sizeof(LOG_LIST)); if (logListNode == NULL) { KdPrint(("队列申请失败 \n")); } logListNode->msg.Buffer = (PWCHAR)ExAllocatePoolWithTag(NonPagedPool, len, LOG_MSG); logListNode->msg.Length = 0; logListNode->msg.MaximumLength = len; RtlAppendUnicodeStringToString(&logListNode->msg,&fullPath); ExFreePoolWithTag(fullPath.Buffer,PROCESS_FULLPATH); //在将进程全路径赋值给要保存的消息后将内存释放 RtlAppendUnicodeToString(&logListNode

评论收藏

内容反馈