Minifilter文件系统过滤框架

原理

正常的IRP流程是R3 API调用时，会将请求封装成一个IRP经过IO管理器到达文件系统，然后在发往磁盘存储系统，最后到达硬件。

使用MiniFilter后会在IO栈中添加MiniFilter管理器。当IRP到达文件系统之前时，首先会被该管理器拦截。管理器会将IRP封装成CALLBACK_DATA，由管理器中存在的多个minifilter驱动依次处理。这些驱动位置是固定的，位置由altitude属性决定。处理结束后把结果返回给管理器，管理器根据结果决定是否把IRP继续下发。

MiniFilter可以有多个祯【多个管理器，每个管理器有多个minifilter驱动】IRP发给帧1，帧1处理后继续下发到Legacy Filter驱动【例如Sfilter】然后继续下发到帧0，最后下发到文件系统、磁盘存储系统最后到达硬件。

Minifilter管理器处理CALLBACK_DATA时会依次获取高altitude值的minifilter驱动的处理结果然后根据结果决定是否继续下发到低altitude值的minifilter驱动。

每一个minifilter驱动必须有Altitude这个唯一标识符。在加载时值越小相对于其他minifilter驱动在I/O栈中的位置越低。Altitude值取值范围在20000到429999。在320000到329999组中包含了在文件I/O期间探测杀毒的过滤驱动，140000到149999组中包含了在文件I/O期间加解密的过滤驱动。

使用

将Minfilter驱动往Minfilter框架中注册前需要先对驱动的结构体fileMonitorRegistration初始化，结构体类型为FLT_REGISTRATION。成员描述的有结构体大小、版本号、Flags值、各种函数等，其中ContextRegistration指向上下文管理的函数，fileMonitorCallbacks指向回调函数结构体数组【存放关于每个IRP处理的组函数】fileMonUnload指向用于卸载驱动的函数，fileMonInstanceSetup指向的函数在驱动绑定到卷设备时会被调用【驱动在启动时会遍历卷设备并为每个卷设备绑定自身的实例】，fileMonInstanceTeardownStart指向的函数在驱动从卷设备卸载时会被调用。

在fileMonitorCallbacks中根据每个IRP可注册一组【pre(处理前)post(处理后)】回调函数，不注册的由Minfilter管理器处理。结构体如下：

const FLT_OPERATION_REGISTRATION 
fileMonitorCallbacks[] =
{
    { 
        IRP_MJ_CREATE,
        FLTFL_OPERATION_REGISTRATION_SKIP_PAGING_IO,
        HOOK_PreNtCreateFile,
        HOOK_PostNtCreateFile
    },
    { 
        IRP_MJ_CLEANUP,
        0,
        HOOK_PreNtCleanup,
        NULL
    },
    {
        IRP_MJ_WRITE,
        0,
        HOOK_PreNtWriteFile,
        HOOK_PostNtWriteFile
    },
    {  
        IRP_MJ_SET_INFORMATION,
        0,
        HOOK_PreNtSetInformationFile,
        HOOK_PostNtSetInformationFile
    },
    { 
        IRP_MJ_OPERATION_END
    }
    ... ...
};

注册的函数参数基本类似，关于CreateFile的一组函数如下：

//______________________________pre:
FLT_PREOP_CALLBACK_STATUS
HOOK_PreNtCreateFile (
PFLT_CALLBACK_DATA Data,//IRP封装
PCFLT_RELATED_OBJECTS FltObjects,//相关对象，例如文件、卷设备、实例和设备对象
PVOID *CompletionContext//上下文对象，可用于让pre分配传给post操作 
//分配的一个context资源
)
{
    //sandbox?，主防?，杀毒引擎?，加解密?
    return XXX;
}

//______________________________post:
FLT_POSTOP_CALLBACK_STATUS
HOOK_PostNtCreateFile (
PFLT_CALLBACK_DATA Data,
PCFLT_RELATED_OBJECTS FltObjects,
PVOID CompletionContext, 
    //在PRE-OP里返回          //FLT_PREOP_SUCCESS_WITH_CALLBACK
    //时获取里面的上下文，并最后释放
FLT_POST_OPER