MiniFilter

关于灭主防过杀软的驱动加载方法 支持x64

说说为什么能过主防做过拦截都应该知道,一般如果这个操作来着内核的话就会放过我希望你明白上面这点那么开始我们今天的话题学过minifilter的应该知道,我们可以通过inf文件来安装驱动,这个inf文件中有一项我们是写
zhuhuibeishadiao·2016-05-03 02:00

Minifilter过滤,功能实现对驱动目录的监控,包括创建,重命名,删除并实现hips

注意下:我的这套过滤只能用在nt6系统上原因是使用一个nt6上才有的函数见函数PsGetProcessFullName其实没必要自己来写获取全路径因为minifilter已经给我们提供了获取全路径的函数
zhuhuibeishadiao·2016-05-02 02:00

Managing Contexts in a Minifilter Driver

https://msdn.microsoft.com/en-us/library/windows/hardware/ff549729(v=vs.85).aspx
明星程序员之魔者侠情·2016-04-28 17:00

MiniFilter文件系统学习

Minfilter在注册表服务项中有一项Altitude值此值越高位置越靠前(待考证每一个minifilter驱动必须有一个叫做altitude的唯一标识符.一个minifilter驱动的altitude
zhuhuibeishadiao·2016-04-23 23:00

VS2013+WDK8.1安装与测试

测试安装完毕之后,打开VS2013,新建项目:创建项目之后,驱动工程中会帮你建立一个inf文件,NT是使用不到的(当然新一代的过滤驱动,例如minifilter是使用的,VS2013支持直接创建minifilter
苦逼的IT男·2015-12-07 18:08

驱动查询设备总线类型

//这个函数适用于minifilter//这是所有的设备类型typedefenum_STORAGE_BUS_TYPE{ BusTypeUnknown=0x00, BusTypeScsi=0x01, BusTypeAtapi
朝阳她老公·2015-11-30 13:36

驱动查询设备总线类型

//这个函数适用于minifilter//这是所有的设备类型typedefenum_STORAGE_BUS_TYPE{ BusTypeUnknown=0x00, BusTypeScsi=0x01, BusTypeAtapi
朝阳她老公·2015-11-30 13:36

miniFilter 内核层与应用程序通信

重点说下FltSendMessage() FilterGetMessage() 和 FilterReplyMessage() 这三个函数   首先:内核层的结构体 // Defines the commands between the utility and the filter typedef enum _NPMINI_COMMAND { ENUM_PASS = 0,
·2015-11-12 17:55

基于Minifilter框架的文件过滤驱动理解

概述 Minifilter即File System Minifilter Drivers,是Windows为了简化第三方开发人员开发文件过滤驱动而提供的一套框架,这个框架依赖于一个称之为Filter
·2015-11-06 07:52

File System Minifilter Drivers(文件系统微型过滤驱动)入门

问题: 公司之前有一套文件过滤驱动,但是在实施过程中经常出现问题,现在交由我维护。于是在边看代码的过程中,一边查看官方资料,进行整理。 这套文件过滤驱动的目的只要是根据应用层下发的策略来控制对某些特定文件的控制,例如根据后缀名来决定是否允许查看,是否允许查看指定目录啊之类的功能。 介绍: MSDN上对可安装的文件系统驱动介绍http://msdn.microsoft.co
·2015-11-06 07:50

寒假学习内核编程小结

      误解minifilter与sfilter
·2015-11-02 16:12

基于文件过滤驱动的透明加密那点事儿

的方式开始到现在,已经十几年了,有细心人按技术实现的方式将其细分为4代,分别是基于API HOOK的第一代技术、基于文件过滤驱动(加清缓存)的第二代技术、使用Layerfsd的双缓冲第三代技术和基于微软新一代minifilter
·2015-10-30 14:52

内核学习-中断级别,分页内存,用户模式以及内核模式

PASSIVE_LEVEL的地方为:1.Driver_Entry,Unload,ShutDown,Dispatchxx2.应用程序的线程所处的Zw例程3.系统线程PsCreateSystemThread4.minifilter
haolipengzhanshen·2015-10-08 21:00

Minifilter微过滤框架:框架介绍以及驱动层和应用层的通讯

minifilter是sfilter后微软推出的过滤驱动框架。相比于sfilter,他更容易使用,需要程序员做的编码更简洁。
dpsying·2015-07-16 14:00

调试nullfilter

编译环境是找网上的“Windows7+Visual2010+WDK7600驱动开发环境配置方法”来配置的,先前运行一些小NT/WDM驱动也正常,今天拿DDK的示例代码来玩,想想文件过滤驱动稍简单一点,不涉及硬件,又minifilter
newdayslu·2015-06-13 16:34

解决文件过滤驱动安装失败,提示依赖的 fltmgr.sys 不存在的问题

Minifilter开发的驱动程序都依赖于驱动程序Fltmgr.sys,也就是我们所说的FileSystemFilterManager。
一柯·2015-05-19 09:28

基于文件过滤驱动的透明加密那点事儿

的方式开始到现在,已经十几年了,有细心人按技术实现的方式将其细分为4代,分别是基于API HOOK的第一代技术、基于文件过滤驱动(加清缓存)的第二代技术、使用Layerfsd的双缓冲第三代技术和基于微软新一代minifilter
·2015-03-14 16:00

MiniFilter简介

minifilter是sfilter后微软推出的过滤驱动框架。相比于sfilter,他更容易使用,需要程序员做的编码更简洁。
BMOP·2014-10-20 23:12

Windows Minifilter驱动 - 获取进程ID, 进程名字和线程ID (5)

minifilter里面可能有好几种获取调用进程id,名字和线程的办法。
zj510·2014-09-22 14:00

Windows Minifilter驱动 - 调式 (4)

写任何程序动态调试是非常重要的。驱动开发也不例外。通常现在写驱动的时候,都是在VM上跑的,调试手段基本也是本地windbg+虚拟机。虚拟机配置我用的是win7,第一步,看下面。成功执行后,会提示:Theentrywassuccessfullycopiedto{xxxxxxxxxxxxxxxxxxx}第二步:继续在CMD中输入bcdedit/debug{xxxxxxxxxxxxxxxx}on{xxx
zj510·2014-09-18 18:00

Windows Minifilter驱动 - DriverEntry (3)

驱动里面的DriverEntry就相当于main()或者DllMain()函数,这是个入口点。当驱动被加载的时候,DriverEntry会被调用。VS2013给我们生成的DriverEntry函数如下:NTSTATUS DriverEntry( _In_PDRIVER_OBJECTDriverObject, _In_PUNICODE_STRINGRegistryPath ) /*++ Routi
zj510·2014-09-18 11:00

Windows Minifilter驱动 - 加载顺序 (2)

安装minifilter后,可以在注册表看到一些东西,比如:驱动的所有信息都可以在注册表里面找到。Minifilter的加载顺序由驱动类型和分组决定。
zj510·2014-09-17 18:00

Windows MiniFilter驱动 - Sample(1)

VS2013里面有向导可以直接创建一个minifilter驱动,这简化了很多工作,不像以前往往是从一个现有驱动代码里面copy一下,然后修改。
zj510·2014-09-17 17:00

基于文件过滤驱动的透明加密那点事儿

的方式开始到现在,已经十几年了,有细心人按技术实现的方式将其细分为4代,分别是基于APIHOOK的第一代技术、基于文件过滤驱动(加清缓存)的第二代技术、使用Layerfsd的双缓冲第三代技术和基于微软新一代minifilter
lionzl·2014-05-25 15:00

FltGetFileNameInformation 函数

FltGetFileNameInformation函数在Minifilter中可以使用FltGetFileNameInformation来获取文件的名字,但是这个函数在如下几种情况下是不能够工作的:
free2o·2014-04-13 21:00

调试 Minifilter 无法卸载

在做驱动开发的测试过程中,发现有时候驱动无法成功的unload,程序发生了死锁,导致驱动程序无法成功卸载。打开windbg,连接运行的虚拟机。在命令窗口输入:!locks得到如下的输出:             ***DUMPOFALLRESOURCEOBJECTS****       KD:Scanningforheldlocks...............................
free2o·2014-03-28 21:00

Minifilter 设计之一 --- Post operation 设计

对于基于IRP的I/O请求,minifilter可以采用两种方法保证Postoperation是在IRQL不高于APC_LEVEL来处理的。1.第一种方法是在Post处理中pendingI/O操作。
free2o·2014-03-27 22:00

Postoperation 回调函数中 pending I/O 操作

Postoperation回调函数中pendingI/O操作在minifilter的posteroperation的回调函数中可以用下面的步骤来pending一个I/O操作1.调用FltAllocateDeferredIoWorkItem
free2o·2014-03-27 20:00

基于文件过滤驱动的透明加密那点事儿

的方式开始到现在,已经十几年了,有细心人按技术实现的方式将其细分为4代,分别是基于APIHOOK的第一代技术、基于文件过滤驱动(加清缓存)的第二代技术、使用Layerfsd的双缓冲第三代技术和基于微软新一代minifilter
吹泡泡的小猫·2013-08-11 23:16

基于文件过滤驱动的透明加密那点事儿

的方式开始到现在,已经十几年了,有细心人按技术实现的方式将其细分为4代,分别是基于APIHOOK的第一代技术、基于文件过滤驱动(加清缓存)的第二代技术、使用Layerfsd的双缓冲第三代技术和基于微软新一代minifilter
orbit·2013-08-11 23:00

expriment: 在IDA中补齐已知的Windows定义的参数

实验对象:WDK7600中自带的 nullFilter工程这个工程的框架是minifilter,IDA没有识别全,只将fltXX函数识别出来,参数中的结构没有识别出来.加入FltXX标准结构载入fltXX
·2013-06-07 13:00

minifilter

对memorymappedfiles:1)  fastio直接返回false  (OK) 2)  CreatFile的第5个参数dwFlagsAndAttributes,要添加FILE_FLAG_NO_BUFFERING;后续的读写就会经过IRP_MJ_READ/WRITE(未测试??)http://www.osronline.com/showThread.cfm?link=190103如果修改了
aalbertini·2013-01-29 18:00

win7 64-bit minifilter

管理员方式:dseo13b.exe启动1)  enabletestmode2)  x64checkedenvironment..........build,install3)  dseosignasystemfile...  4)  fltmc.exeloadfilter OK>>>>>>>>>>>
aalbertini·2013-01-08 17:00

Minifilter微过滤框架:框架介绍以及驱动层和应用层的通讯

minifilter是sfilter后微软推出的过滤驱动框架。相比于sfilter,他更容易使用,需要程序员做的编码更简洁。
arvon2012·2012-08-30 18:00

青松卓然 js2854的博客 [MiniFilter]驱动隐藏文件夹的实现(支持Win7)

青松卓然js2854的博客[MiniFilter]驱动隐藏文件夹的实现(支持Win7)http://www.cnblogs.com/js2854/archive/2010/11/03/HideDir.html
machack·2012-07-18 08:47

如何安装 Fltmgr.sys 驱动程序

Minifilter开发的驱动程序都依赖于驱动程序 Fltmgr.sys,也就是我们所说的FileSystemFilterManager。
wwwgeyang777·2012-06-12 14:00

Minifilter的动态安装、加载及卸载

MINIFILTER框架的文件系统过滤驱动,无法使用的CreateService和OpenService进行动态加载。
xum2008·2012-06-08 11:00

关于监控文件系统上的IRP序列

希望对需要ring0主动向ring3频繁通信的朋友有点帮助基本框架是Minifilter。向minifilter注册回调函数来监控走过文件系统设备上的IRP。
digimon·2012-03-03 16:00

minifilter

minifilter透明加解密源码http://bbs3.driverdevelop.com/read.php?
zanget·2011-12-20 14:00

Minifilter中Swapping buffers(交换缓冲)

下面的话摘自《FilterDriverDeveloperGuide》:Certainminifiltersneedtoswapthesuppliedbufferforcertainoperations.Consideraminifilterthatimplementscustomencryption.Onanon-cachedIRP_MJ_READ,itnormallywishestodecryp
wwwgeyang777·2011-11-25 10:00

Minifilter的动态安装、加载及卸载

MINIFILTER框架的文件系统过滤驱动,无法使用的CreateService和OpenService进行动态加载。
sjvollyball·2011-06-08 14:06

FltRegisterFilter 调用失败的处理

阅读更多FltRegisterFilter调用失败的处理今天准备调试昨天的一个minifilter的时候,突然系统蓝屏了,感觉很奇怪,因为在以前是没有问题,而且这几天也没有改过代码,怎么突然有问题了呢?
luck_donkey·2011-04-08 14:00

minifilter开发文件过滤驱动、以及syser调试的经验

minifilter开发文件过滤驱动、以及syser调试的经验。刚刚完成一个产品的开发,用了两个月,真不容易,像我这种菜鸟,为了搞清一个常识,得从老谭的那本古董级C程序设计翻起。首先说驱动教程。
eric491179912·2010-12-29 15:00

wdk minifilter 自带示例的简要说明

最近要用wdk7的minifilter做一个文件过滤的东西,苦于没有资料可用,明明知道winDDK/src/filesys/minifilter的范例很有用,但就是无从下手,google了半天(SBgoogle.cn
eric491179912·2010-12-29 15:00

MiniFilter 通信过程中的要点。

   通信程序写好后,发现似乎不能有效的卸载程序,居然连关机都不能,是不是让人很郁闷,真的是这样的。。。然而,想到了早上对一些内容的学习,突然间发现,其实问题已经有了眉目,其实这样的问题发生的很是隐蔽的,不是很容易发现的,这个问题就是在通信过程中,我们自己生成的PFLT_PORT端口,如果我们不能在FltUnregisterFilter执行之前,将其关闭,不然,就会造成系统被挂起。。。 关机都不行
xum2008·2010-05-30 20:00

MiniFilter 的应用层通信程序的编写问题

    今天,开始了对minifilter的编写,目的是掌握微型过滤程序的编写习惯以及熟悉其中的结构,与sfilter比起来,它封装了更多的东西,让初学者有点不知所错,但是经过了对sfilter的学习后
xum2008·2010-05-30 17:00

文件系统minifilter新架构开发指南

微过滤器驱动开发指南   0.译者序 对我来说,中文永远是最美,最简洁,最精确和最高雅的文字。 本文翻译仅仅用做交流学习。我不打算保留任何版权或者承担任何责任。不要引用到赢利出版物中给您带来版权官司。本文的翻译者是楚狂人,如果有任何问题,你可以通过邮箱[email protected],或者是QQ16191935,或者是[email protected]与我交流。 我翻译此
look01·2009-08-12 15:00

透明加密驱动开发心得

最近研究文件透明加密驱动的开发,基于MiniFilter具体实现方式是在一文件尾加一块我自己的数据,在IRP_CREATE时中通过FltSetInformationFile()去掉这个数据块在CleanUp
laokaddk·2009-01-13 17:59

Minifiler开发心得

WritingaFileSystemMinifilter-Pitfalls,HintsandTips Minifilter心得 2007-04-0911:43WritingaFileSystemMinifilter-Pitfalls
laokaddk·2009-01-12 15:11

如何判定一个FileObject是否代表一个PagingFile?

API LOGICAL   FsRtlIsPagingFile(    IN PFILE_OBJECT FileObject    );LOGICAL  要注意的问题是,在CREATE的完成函数中,或在MiniFilter
laokaddk·2009-01-12 11:56
上一页 1 2 3 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他