http://www.vckbase.com/index.php/wv/1495
WINDOWS文件过滤系统驱动开发,可用于硬盘还原,防病毒,文件安全防护,文件加密等诸多领域。而掌握核心层的理论及实践,对于成为一名优秀的开发人员不可或缺。
WINDOWS文件过滤系统驱动开发的两个经典例子,Filemon与SFilter,初学者在经过一定的理论积累后,对此两个例子代码的研究分析,会是步入驱动开发殿堂的重要一步,相信一定的理论积累以及贯穿剖析理解此两个例程后,就有能力开始进行文件过滤系统驱动开发的实际工作了。
对于SFilter例子的讲解,楚狂人的教程已经比较流行,而Filemon例子也许因框架结构相对明晰,易于剖析理解,无人贴出教程,本人在剖析Filemon的过程中积累的一些笔记料,陆续贴出希望对初学者有所帮助,并通过和大家的交流而互相提高。
Filemon学习笔记 第一篇:
Filemon的大致架构为,在此驱动程序中,创建了两类设备对象。
一类设备对象用于和Filemon对应的exe程序通信,以接收用户输入信息,比如挂接或监控哪个分区,是否要挂接,是否要监控,监控何种操作等。此设备对象只创建了一个,在驱动程序的入口函数DriverEntry中。此类设备对象一般称为控制设备对象,并有名字,以方便应用层与其通信操作。
第二类设备对象用于挂接到所须监控的分区,比如c:,d:或e:,f:,以便拦截到引应用层对该分区所执行的读,写等操作。此类设备对象为安全起见,一般不予命名,可根据须监控多少分区而创建一个或多个。
驱动入口函数大致如下:
001.NTSTATUS002.DriverEntry(003.IN
PDRIVER_OBJECT DriverObject,004.IN
PUNICODE_STRING RegistryPath005.)006.{007.NTSTATUS
ntStatus;008.PDEVICE_OBJECT
guiDevice;009.WCHAR deviceNameBuffer[]
= L"\\Device\\Filemon";010.UNICODE_STRING
deviceNameUnicodeString;011.WCHAR deviceLinkBuffer[]
= L"\\DosDevices\\Filemon";012.UNICODE_STRING
deviceLinkUnicodeString;013.ULONG i;014. 015.DbgPrint
(("Filemon.SYS:
entering DriverEntry\n"));016.FilemonDriver
= DriverObject;017. 018.// 019.//
Setup the device name020.// 021.RtlInitUnicodeString
(&deviceNameUnicodeString,022.deviceNameBuffer
);023.