win10 1803 64位系统,文件过滤驱动 隐藏指定文件,三环下应用程序调用windowsAPI获取不到被隐藏的文件。
添加白名单进程,可以看到被隐藏进程
文件是debug64编译,驱动未签名,仅供虚拟机开启测试模式使用,测试前请保存快照
2025-05-10 09:29:32
37KB
1
在IT领域,MiniFilter是一种非常重要的技术,尤其在文件系统过滤驱动程序开发中。本教程将深入探讨如何在Visual Studio 2012和Windows Driver Kit (WDK) 8.1环境下,利用MiniFilter来拦截文件操作并实现与用户模式(R3层)的通信。我们将从以下几个方面详细讲解这一主题:
1. **MiniFilter概述**:MiniFilter驱动是微软引入的一种文件系统过滤驱动,用于在文件系统和上层应用之间插入拦截点,从而在文件系统操作中添加自定义逻辑。它们可以在文件创建、读取、写入、删除等操作前后执行特定任务,为系统安全、日志记录、备份和数据保护等功能提供了强大的支持。
2. **VS2012与WDK8.1集成**:Visual Studio 2012与WDK8.1结合使用,为开发驱动程序提供了一个方便的环境。WDK提供了编译、链接和调试驱动程序所需的工具和库,而VS2012则提供了友好的IDE,使得驱动开发过程更为直观和高效。
3. **MiniFilter驱动结构**:一个基本的MiniFilter驱动通常包括初始化、卸载、预操作和后操作回调函数。这些函数根据文件系统操作的不同阶段被调用,如`PreCreate`、`PostCreate`、`PreRead`、`PostWrite`等。开发者需要在这些回调函数中编写相应的处理代码,以实现拦截和响应。
4. **拦截文件操作**:在MiniFilter中,通过在预操作回调中设置操作标志,可以决定是否允许或修改文件操作。例如,若希望阻止某个文件的写入,可在`PreWrite`回调中设置操作标志为`FLTFL_PREOP_DISALLOWED`,从而阻止写入操作。
5. **与R3层通信**:R3层指的是运行在用户模式下的应用程序,与之通信通常需要通过IRP(I/O请求包)或者使用内核到用户模式的API。在MiniFilter中,可以创建一个系统服务,让R3层的应用程序通过系统调用来与驱动进行通信。这样,驱动可以获取到更多的上下文信息,或者向用户模式发送通知。
6. **示例代码分析**:压缩包中的"minifilter"项目可能包含了示例代码,它展示了如何创建一个简单的MiniFilter驱动,实现文件操作拦截和与R3层的通信。这部分内容会涉及到注册MiniFilter、定义回调函数、设置过滤级以及处理IRP等关键步骤。
7. **调试与测试**:调试MiniFilter驱动通常需要用到WinDbg工具,它可以检查驱动的执行流程和内存状态。同时,编写测试用例来验证驱动功能也是必不可少的,这包括模拟各种文件操作场景,确保MiniFilter能够正确拦截并响应。
8. **安全性与性能考虑**:在实际应用中,必须注意MiniFilter驱动的安全性和性能影响。不恰当的拦截可能会导致系统不稳定,因此应谨慎处理可能的死锁和资源泄漏。同时,频繁的拦截操作也可能对系统性能产生负面影响,因此优化回调函数的执行效率非常重要。
总结来说,"miniFilter 拦截与通讯实例"教程旨在帮助开发者了解如何利用MiniFilter驱动在文件系统级别进行操作拦截,并实现与用户模式应用程序的通信。通过这个教程,你可以掌握驱动开发的基础知识,为进一步的系统级编程打下坚实的基础。
2025-03-27 22:14:06
4.79MB
1
在Windows操作系统中,Minifilter是I/O过滤驱动程序模型的一部分,主要用于文件系统过滤和数据流的处理。这个"minifilter_内核通信_DEMO_minifilter_"项目旨在演示如何在内核模式的Minifilter驱动程序中实现与用户层应用程序的通信。通过这个DEMO,我们可以学习到以下关键知识点:
1. **Minifilter驱动程序**:Minifilter是Windows Filter Manager提供的一个接口,允许开发人员编写内核模式驱动程序来拦截和操作文件系统操作。相比于传统的File System Filter Driver(FsFilter),Minifilter具有更好的性能和稳定性。
2. **内核通信**:在Windows系统中,内核模式的驱动程序需要与用户模式的应用程序交互,这通常通过多种方法实现,如IRP(I/O请求包)、设备控制、注册表、内存映射文件等。在这个DEMO中,可能会涉及到一种或多种通信机制。
3. **用户层通信机制**:可能使用的通信方式包括创建自定义的设备驱动对象(Device Object)并使用IoControl函数,或者利用WinAPI中的CreateFile、DeviceIoControl等函数进行交互。此外,还可以使用KMDF(Kernel-Mode Driver Framework)提供的回调机制。
4. **Minifilter注册与初始化**:在驱动程序加载时,必须正确注册Minifilter,以确保它可以拦截文件系统操作。这涉及FltRegisterFilter函数,同时需要定义过滤器的实例和预定义的回调函数。
5. **回调函数**:Minifilter的核心在于其回调函数,如PreCreate、PostCreate、PreRead、PostWrite等。这些函数会在对应的文件操作发生时被调用,允许我们在内核模式下对操作进行处理或修改。
6. **同步与异步操作**:内核与用户层通信时,需要处理同步和异步操作的问题,以避免阻塞或数据一致性问题。例如,使用I/O完成 ports 或 overlapped I/O 来处理异步请求。
7. **调试技术**:由于驱动程序运行在内核模式,调试通常比用户模式应用更复杂。可以使用WinDbg这样的工具,或者利用KMDF和WPP软件 tracing 功能来诊断和调试驱动程序。
8. **安全性和稳定性**:内核模式代码的错误可能导致系统崩溃,因此在设计和实现内核通信时,必须特别关注安全性和稳定性。遵循最佳实践,如正确处理错误,使用安全的编程技术,以及充分测试。
通过分析和研究这个DEMO,开发者能够深入理解Minifilter驱动程序的工作原理,掌握内核与用户层通信的关键技术,并能够将这些知识应用到实际的文件系统过滤或监控项目中。
2024-07-16 17:00:28
16.36MB
1
软件名称:SEFS透明加密内核 V 2.0.0.1
软件版本:2.0.0.1
建议分类:系统安全/文件加密
软件大小:371K
安装平台:Win2000 sp4+urp / xp sp2 / 2003 sp1 / vista
软件语言:简体中文/繁体中文/英文
软件授权:共享软件
软件主页:http://www.sefs.net
支持邮箱:admin@sefs.net
软件下载:http://www.sefs.net/setup.rar
国内首家采用MS全新 MiniFilter架构的SEFS透明加密内核 V 2.0.0.1发布
1、简述
SEFS透明加密开发内核是基于MS最新的IFS文件过滤驱动(MiniFilter)开发的透明加密平台。加密标识内置于文件本身、可支持PKCS7电子 信封、加密算法可在内核态。也可在应用层,支持MS CSP 标准,可实现对加密硬件如USBKEY的支持。加、解密操作均受保护 的内存区域完成,高效安全。不会产生临时文件,同时配套保护驱动可防止进程注入、内存Dump、和截屏操作,全程保护您的
机密资料。
2、特点
1、强制加密:客户端指定规则或匹配规则产生的任意文件均强制加密。所有的“文件另存”均为加密。不管是
怎么样的文件名称。SEFS是智能识别应用程序的行为.
2、文件加密标记识别采用指纹智能识别技术,加密标记植于文件本身,支持电子信封模式(PKCS7)和支持
身份/身份组机制.方便交流和传输。
3、SEFS平台工作于文件系统驱动层面,可以支持内存映射文件的方式.而非一些基于API Hook方式的加密系
统绝对无法支持内存映射文件。例如最常见的notepad(记事本)/另外可执行文件的加载执行均是通过内存
映射文件的方式.
4、进程识别基于特征值,而非简单的基于进程名称判断。可防止进程改名、加壳等形式的攻击。
5、非授权进程无法读取密文。网络间受控文件的传输为密文。FoxMail、OutLook或Ftp客户端等网络软件无法发送
明文。(假设其为非授权进程的话)
6、完美解决明文缓存问题,即便是密文正在被打开,也不能非法夺取明文
7、使用全新的MiniFilter架构,同杀毒软件有较好的兼容性,同时在性能和稳定性方面,较老的IFS过滤驱动
有着明显的提升。
8、支持应用层的加、解密算法和引擎。可兼容MS CSP 、PKCS11 等标准,从而实现硬件的加解密。满足不同的安全级别的要求。
3、安装环境
客户端:Win2000 sp4 + URP /XP sp2/2003 sp1 / Vista
Win2000需要Update Rollup Pack (URP) 下载:http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=B54730CF-8850-4531-B52B-BF28B324C662
4、支持的软件:
1. 办公类: Microsoft Office 2000/XP/2003 、 Adobe acrobat7 、NotePad、 WordPad。
2. 图像类: Photoshop 、 CorelDraw12 、 Mspaint画图等
3. 设计类: AutoCAD 2004 、圆方BtoCAD、等
4. ...................
SEFS--透明加密内核
=============================================
商业授权:sales@sefs.net
Bug 报告:bug@sefs.net
软件版本:2.0.0.1
建议分类:系统安全/文件加密
软件大小:371K
安装平台:Win2000 sp4+urp / xp sp2 / 2003 sp1 / vista
软件语言:简体中文/繁体中文/英文
软件授权:共享软件
软件主页:http://www.sefs.net
支持邮箱:admin@sefs.net
软件下载:http://www.sefs.net/setup.rar
国内首家采用MS全新 MiniFilter架构的SEFS透明加密内核 V 2.0.0.1发布
1、简述
SEFS透明加密开发内核是基于MS最新的IFS文件过滤驱动(MiniFilter)开发的透明加密平台。加密标识内置于文件本身、可支持PKCS7电子 信封、加密算法可在内核态。也可在应用层,支持MS CSP 标准,可实现对加密硬件如USBKEY的支持。加、解密操作均受保护 的内存区域完成,高效安全。不会产生临时文件,同时配套保护驱动可防止进程注入、内存Dump、和截屏操作,全程保护您的
机密资料。
2、特点
1、强制加密:客户端指定规则或匹配规则产生的任意文件均强制加密。所有的“文件另存”均为加密。不管是
怎么样的文件名称。SEFS是智能识别应用程序的行为.
2、文件加密标记识别采用指纹智能识别技术,加密标记植于文件本身,支持电子信封模式(PKCS7)和支持
身份/身份组机制.方便交流和传输。
3、SEFS平台工作于文件系统驱动层面,可以支持内存映射文件的方式.而非一些基于API Hook方式的加密系
统绝对无法支持内存映射文件。例如最常见的notepad(记事本)/另外可执行文件的加载执行均是通过内存
映射文件的方式.
4、进程识别基于特征值,而非简单的基于进程名称判断。可防止进程改名、加壳等形式的攻击。
5、非授权进程无法读取密文。网络间受控文件的传输为密文。FoxMail、OutLook或Ftp客户端等网络软件无法发送
明文。(假设其为非授权进程的话)
6、完美解决明文缓存问题,即便是密文正在被打开,也不能非法夺取明文
7、使用全新的MiniFilter架构,同杀毒软件有较好的兼容性,同时在性能和稳定性方面,较老的IFS过滤驱动
有着明显的提升。
8、支持应用层的加、解密算法和引擎。可兼容MS CSP 、PKCS11 等标准,从而实现硬件的加解密。满足不同的安全级别的要求。
3、安装环境
客户端:Win2000 sp4 + URP /XP sp2/2003 sp1 / Vista
Win2000需要Update Rollup Pack (URP) 下载:http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=B54730CF-8850-4531-B52B-BF28B324C662
4、支持的软件:
1. 办公类: Microsoft Office 2000/XP/2003 、 Adobe acrobat7 、NotePad、 WordPad。
2. 图像类: Photoshop 、 CorelDraw12 、 Mspaint画图等
3. 设计类: AutoCAD 2004 、圆方BtoCAD、等
4. ...................
SEFS--透明加密内核
=============================================
商业授权:sales@sefs.net
Bug 报告:bug@sefs.net
2024-01-13 21:11:15
356KB
1
基于minifilter框架下的透明加解密源码。
1 手工加载时自动增加system,explorer.exe,notepad.exe为监控进程
2023-12-10 15:52:14
281KB
1
这是我参加中国软件杯比赛时写的基于驱动的文件透明加解密软件。程序有三部分,驱动内核代码,服务器短,客户端。驱动在系统内核级别对磁盘文件进行加密和解密,客户端实现了驱动的管理和通信,服务器端实现了加解密策略的定制,访问授权等。现在共享给需要研究驱动的同学。
2023-04-04 13:53:06
23.55MB
1
资源中的是微软minifilter的原始代码,结构精简,学过滤驱动的朋友们可以参考下。相关文章在http://blog.csdn.net/arvon2012/article/details/7926366
2022-05-04 15:56:45
24KB
1
资源中的是微软minifilter的原始代码,结构精简,学过滤驱动的朋友们可以参考下。相关文章在http://blog.csdn.net/arvon2012/article/details/7926366
2021-11-24 10:44:50
24KB
1
文件系统Minifilter驱动权威教程---中文版
0积分,大家共同进步吧
2021-09-11 00:35:06
168KB
1