文件过滤驱动C

㈠ 文件过滤驱动程序中volume和磁盘是什么关系

DB库、dat、cfg……多了，只需要研发者自行设置一种就可以。关键是你要做什么?要解密?

㈡ 如何设计单机版的文件过滤驱动

透明指的是用户在操作的时候，虽然后台在自动的进行加解密，但是用户根本就内不知道加密的存在，容就像中间隔了一层透明的玻璃一样。透明的好处在于不改变用户的操作，一切都和加密之前一样，甚至在有些企业安装加密后都无需通知所有的员工，就像加密并不存在一样，只是加密文件到了企业安全环境的外部才会发现文件无法打开。透明的程度也是加密软件一个很重要的方面，例如：正在编辑一个Word文件时，能否拷贝或者使用其他程序来读取这个文件，如果不能那么这里就不够透明，在一些PDM的文档管理软件中就是文件在一个应用程序打开状态时另一个应用程序进行检入。透明的程度越高，用户使用时就越是和未加密时一样，透明程序越低用户就会发现有越多的操作受到限制，和加密前有较大的差异。

㈢ 如何构造一个简单的USB过滤驱动程序

本文分三部分来介绍如何构造一个简单的USB过滤驱动程序，包括“基本原理”、“程序的实现”、“使用INF安装”。此文的目的在于希望读者了解基本原理后，可以使用除DDK以外最流行也最方便的驱动开发工具DriverStudio来实现一个自己的过滤驱动，并正确地安装。

一、基本原理
我们知道，WDM（和KDM）是分层的，在构造设备栈时，IO管理器可以使一个设备对象附加到另外一个初始驱动程序创建的设备对象上。与初始设备对象相关的驱动程序决定的IRP,也将被发送到附加的设备对象相关的驱动程序上。这个被附加的驱动程序便是过滤驱动程序。如右图，过滤驱动可以在设备栈的任何层次中插入。IO管理器发出的IRP将会沿着右图的顺序从上往下传递并返回。因此，我们可以使用过滤驱动程序来检查、修改、完成它接收到的IRP，或者构造自己的IRP。
上面这种文字是很枯燥的，好在“前人”已经写过一些范例以供我们更好地理解这些概念。读过Waltz Oney的《Programming Windows Driver Mode》一书的读者大概都知道Waltz Oney提供的范例中有一个关于USB过滤器(第九章)的例子，而在此基础上，《USB Design By Example》(http://www.usb-by-example.com)的作者John Hyde实现了一个USB键盘过滤驱动程序，即给此程序增加了一个“拦截(Intercept)”功能来处理USB键盘的Report以实现特定的功能：当驱动程序在IRP_MJ_INTERNAL_DEVICE_CONTROL设置的完成例程从USB设备拦截到一个Get_Report_Descriptor时，拦截程序将此Descriptor中的USAGE值从“Keyboard”改为“UserDefined”，再返回给系统。
我们可以从这个例子中获得一些灵感，比如，在Win2k下，键盘是由OS独占访问的，我们可以通过这种方式使之可以让用户自由访问；我们也可以拦截其他Report_Descriptor，将部分键重新定义，以满足特殊的要求；如果你愿意再做一个用户态的程序，你还可以将你拦截到的键值传递给你的用户态程序，以实现象联想、实达等国内电脑大厂出品的那些键盘上的各种实用的功能。

二、程序的实现
Waltz Oney和John Hyde的例子已经写得很详细了，读者可以不用修改一个字节便顺利地编译生成一个过滤驱动程序。本文的目的在于使用DriverStudio组件Driverworks来实现同样的功能。
相信读者读到这篇文章时，已经对DriverStudio有了很多的了解。DriverStudio作为一个以C++为基础的“快速”驱动开发工具，它封装了基本上所有的DDK的函数，其集成在VC++中的DriverWizard，可以很方便地引导你完成设备驱动程序开发的全过程，能根据你的硬件种类自动生成设备驱动程序源代码，并提供了很多范例程序。当然，这些例子中便包含一个USB Filter驱动程序的框架。在不侵犯版权的前提下，充分利用现有共享的、免费的、授权的代码是我们的一贯作法。我们下面便以此范例为基础来作修改。
我们的目的是做一个HID小驱动程序hisb.sys的Lower Filter，它附加在“人机接口设备” ，通过拦截USB的Get_Report_Descriptor来修改其返回值，当它发现该Descriptor的Usage 为“Keyboard”时，将其改为“UserDefined”，如此我们便可以完全控制这只键盘。具体做法是，拦截IRP_MJ_INTERNAL_DEVICE_CONTROL，并检查其IOCTL代码及URB，如果满足IOCTRL功能代码为IOCTL_INTERNAL_USB_SUBMIT_URB以及URB功能代码为URB_FUNCTION_GET_DESCRIPTOR_FROM_INTERFACE的条件，即上层驱动发来Get_Report_Descriptor请求时，设置一个完成例程，在这个完成例程中，我们将判断Usage的值，将Usage由“6(Keyboard)”时，将其改为“0(UserDefined)”。
打开C:\Program Files\NuMega\DriverStudio\DriverWorks\Examples\wdm\usbfilt目录(具体目录依你的DriverStudio所安装的目录不同而不同) ，再打开工程文件usbfilt.dsw，我们先看一下代码。
程序由两个类组成，一个是Driver类，一个是Device类。Driver类包括：
入口函数DriverEntry:
DECLARE_DRIVER_CLASS(UsbFilterDriver, NULL)
/////////////////////////////////////////////////////////////////////
// Driver Entry
//
NTSTATUS UsbFilterDriver::DriverEntry(PUNICODE_STRING RegistryPath)
{
T << "UsbFilterDriver::DriverEntry\n";

m_Unit = 0;
return STATUS_SUCCESS;

// The following macro simply allows compilation at Warning Level 4
// If you reference this parameter in the function simply remove the macro.
UNREFERENCED_PARAMETER(RegistryPath);
}
AddDevice函数
NTSTATUS UsbFilterDriver::AddDevice(PDEVICE_OBJECT Pdo)
{
T << "UsbFilterDriver::AddDevice\n";
UsbFilterDevice * pFilterDevice = new (
static_cast<PCWSTR>(NULL),
FILE_DEVICE_UNKNOWN,
static_cast<PCWSTR>(NULL),
0,
DO_DIRECT_IO
)
UsbFilterDevice(Pdo, m_Unit);
if (pFilterDevice)
{
NTSTATUS status = pFilterDevice->ConstructorStatus();
if ( !NT_SUCCESS(status) )
{
T << "Failed to construct UsbFilterDevice"
<< (ULONG) m_Unit
<< " status = "
<< status
<< "\n";

delete pFilterDevice;
}
else
{
m_Unit++;
}
return status;
}
else
{
T << "Failed to allocate UsbFilterDevice"
<< (ULONG) m_Unit
<< "\n";
return STATUS_INSUFFICIENT_RESOURCES;
}
}

这两段代码基本上和自动生成的代码差不多。AddDevice的作用是构造一个过滤器的实例。
关键的代码在Device类。在这个类里，我们把过滤器插入设备栈，并拦截IRP，用自己的完成例程来实现特定的功能。
Device构造函数
UsbFilterDevice::UsbFilterDevice(PDEVICE_OBJECT Pdo, ULONG Unit) :
KWdmFilterDevice(Pdo, NULL)
{
T << "UsbFilterDevice::UsbFilterDevice\n";
// Check constructor status
if ( ! NT_SUCCESS(m_ConstructorStatus) )
{
return;
}
// Remember our unit number
m_Unit = Unit;
// initialize the USB lower device
m_Usb.Initialize(this, Pdo);
NTSTATUS status = AttachFilter(&m_Usb); //Attach the filter
if(!NT_SUCCESS(status))
{
m_ConstructorStatus = status;
return;
}
SetFilterPowerPolicy();
SetFilterPnpPolicy();
}
在DDK中，我们用IoAttachDevice将设备对象插入设备栈中。DriverStudio封装了这个函数。在DriverStudio中，其他驱动程序需要用Initialize来初始化设备对象和接口，对于过滤驱动，我们关键是需要Attachfilter将其附加在堆栈中。
对于大部分如IRP_MJ_SYSTEM_CONTROL等IRP，我们所做的只需用PassThrough(Irp)将其直接往设备栈下层传递，不需要做任何工作。这些代码我们就不一一列举了。下面的部分才是本文的关键。
我们知道，HIDUSB.SYS是使用内部IOCTRL发出URB给USB类驱动程序(USBD)读取数据的，那么，HIDUSB首先必须构造一个IRP_MJ_INTERNAL_DEVICE_CONTROL，它的IOCTL功能码为IOCTL_INTERNAL_USB_SUBMIT_URB(发出URB的内部IOCTL)。另外，因为我们要检查并修改的是USB键盘某个接口的报告描述，那么这个URB应该是URB_FUNCTION_GET_DESCRIPTOR_FROM_INTERFACE，如下：
NTSTATUS UsbFilterDevice::InternalDeviceControl(KIrp I)
{
T << "UsbFilterDevice::InternalDeviceControl\n";
// Pass through IOCTLs that are not submitting an URB
//不是我们感兴趣的IOCTL不要理它
if (I.IoctlCode() != IOCTL_INTERNAL_USB_SUBMIT_URB)
return DefaultPnp(I);

PURB p = I.Urb(CURRENT); // get URB pointer from IRP

//不是我们感兴趣的URB，也不要理它，
if (p->UrbHeader.Function !=
URB_FUNCTION_GET_DESCRIPTOR_FROM_INTERFACE)
return DefaultPnp(I);
//符合要求的IRP才被设置完成例程
return PassThrough(I, LinkTo(DeviceControlComplete), this);
}
在设置好条件以后，再来实现完成例程。所有的检查、修改等动作都是在完成例程里面完成的。
NTSTATUS UsbFilterDevice::DeviceControlComplete(KIrp I)
{
PURB p = I.Urb(CURRENT);
if(p)
{
//拦截到设备返回的描述表，
char* DescriptorBuffer = (char*)p->UrbControlDescriptorRequest.TransferBuffer;
//指向第三个字节，表示设备Usage属性的值
DescriptorBuffer += 3;
//如果值为6则改成0，6表示hid键盘，0表示未知设备
//在设备管理器里面，原来的hid兼容键盘就不复存在了，取而代之的则是hid兼容设备
if ((*DescriptorBuffer&0xff) == 6)
*DescriptorBuffer = 0;
}
return I.Status();
}
读者可以对照DriverWorks中的例子，直接替换掉（或者修改）上面这两个函数，再编译一下，便可以得到一个完整的键盘过滤器驱动程序。
其实，只要弄清楚了我们需要做些什么动作，在DriverStudio里面只需要写少量的关键代码，便可实现我们的要求，其余的大部分工作，或有范例可供参考，或有Driver Wizard自动生成。
从上面可以看出，我们只需要修改这两个函数，拦截合适的IRP，便可以在完成例程里面实现我们特定的要求。正如开头所说，我们也可以拦截其他的IRP，拦截其他的URB，或者拦截特定键盘的按键键值，将之传递到用户态，以方便实现联想、实达等随机配备的多功能键盘的功能。

三、使用INF安装驱动
在完成了驱动以后，还必须把它安装到系统里面，驱动程序才会起作用。一般来说，我们都必须为我们的驱动程序提供一个inf文件，以便于用户安装或者维护。对于新手来说，过滤驱动程序的inf或许有些棘手。所以，针对本文所描述的驱动，我们提供一个Win98下的安装范例usbkey.inf，范例中“;”后的文字是注解，以方便读者理解。

; usbkey.INF
;
; Installs Lower Level Filter for a HID keyboard device
;
; (c) Copyright 2001 SINO Co., Ltd.
;
[Version]
;”CHICAGO”表示Win9x平台
Signature="$CHICAGO$"
;键盘所属类名
Class=HID
ClassGUID={745a17a0-74d3-11d0-b6fe-00a0c90f57da}
；驱动程序提供者，此信息会显示在设备属性的“常规”页
Provider=%USBDBE%
LayoutFile=layout.inf
;显示在驱动程序文件详细资料窗口
DriverVer=11/12/2001,4.10.2222.12

;[ControlFlags]
;ExcludeFromSelect = *

;驱动程序安装目录，inf会将我们的驱动程序安装到如下目录
;记得Destinationdir后面一定要带一个“s”
[DestinationDirs]
DefaultDestDir = 10,system32\drivers

;要增加的注册表项
[ClassInstall]
Addreg=HIDClassReg

[HIDClassReg]
HKR,,,,%HID.ClassName%
HKR,,Icon,,-20

;制造商
[Manufacturer]
%USBDBE%=USBDBE

[USBDBE]
;我们所要附加过滤驱动程序的设备ID。这个ID可以从IC的规范上得来，也可以
;用hidview.exe读出，或者从注册表HKLM\Enum\hid和usb项找出
%HID.DeviceDesc% = Keypad_Inst, USB\VID_05AF&PID_0805&MI_00

;要安装的文件和需要修改的注册表项
;Install usbkey driver
[Keypad_Inst]
CopyFiles=Keypad_Inst.CopyFiles
AddReg=Keypad_Inst.AddReg

[Keypad_Inst.CopyFiles]
hisb.sys
hidparse.sys
hidclass.sys
usbfilt.sys

[Keypad_Inst.AddReg]
HKR,,DevLoader,,*ntkern
HKR,,NTMPDriver,,"hisb.sys"

[Keypad_Inst.HW]
AddReg=Keypad_Inst.AddReg.HW

;Lowerfilters表示是低层过滤驱动，如果是上层过滤驱动，则必须改为upperfilters
[Keypad_Inst.AddReg.HW]
HKR,,"LowerFilters",0x00010000,"usbfilt.sys"

;HID设备所需要安装的文件和注册表中需要修改的地方
;Install USBHIDDevice
[USBHIDDevice]
CopyFiles=USBHIDDevice.Copy
AddReg=USBHIDDevice.AddReg

[USBHIDDevice.Copy]
hidclass.sys
hisb.sys
hidparse.sys

[USBHIDDevice.AddReg]
HKR,,DevLoader,,*ntkern
HKR,,NTMPDriver,,"hisb.sys"

;以下定义需要在上面某些地方使用时替换的字符串
[strings]
USBDBE = "SINO Co., Ltd."
HID.DeviceDesc = "SINO USB MultiKeyboard"
HID.HIDDeviceDesc = "Human Interface Devices"
HID.DefaultDevice = "HID Default Device"
HID.ClassName = "Human Input Devices (HID)"
HID.SvcDesc = "Microsoft HID Class Driver"

其实最简单的写inf的方式，是找一些类似设备的inf文件或范例来修改。在不侵权的前提下，充分利用现有资源是我们的一贯原则。

㈣ 如何卸载反病毒文件系统过滤驱动

您好：

这样的情况可能是因为您以前安装的安全软件并没有彻底卸载干净回导致的软件冲突，建议答您使用腾讯电脑管家的软件管理里面的卸载功能将以前安装的安全软件卸载干净，并使用垃圾清理功能清理完卸载残留以后再安装新的安全软件就可以了，并建议您使用腾讯电脑管家保护您的电脑，您可以点击这里下载最新版的腾讯电脑管家：腾讯电脑管家最新版下载

腾讯电脑管家企业平台：http://..com/c/guanjia/

㈤ 请教用文件过滤驱动的方式透明加密linux中的文件

文件系统过滤驱动是一种可选的，为文件系统提供具有附加值功能的驱动专程序。文件系统过滤驱动是一属种核心模式组件，它作为Windows NT执行体的一部分运行。 文件系统过滤驱动可以过滤一个或多个文件系统或文件系统卷的I/O操作。按不同的种类划分，...

㈥ 如何在文件过滤驱动中启动一个应用层进程

一般来说，那些在你电脑上安装的应用程序在后台运行的进程是可以关闭的，而那些windows自动运行的服务程序/进程是万万不可关闭的（可以在进程中的描述一栏中找到）。但是，这并不意味着所有后台运行的应用程序/进程（你所安装的）都可以关闭，比如的数据传输通道，杀毒的后台防护程序等等，这些也不能关闭。还有一些进程，比如声卡等。其实，如果你是想关闭某个后台程序以用来释放内存的话，可以用杀毒自带的释放内存工具来实现，一般来说，还是不要直接通过任务管理器关闭后台进程，这样可能会让电脑崩溃，也可能会丢失那些被你关闭的应用程序的数据。

㈦ linux怎样加载文件过滤驱动

文件系统过滤驱动是一种可选的，为文件系统提供具有附加值功能的驱动程序。文件系统过滤驱动是一种核心模式组件，它作为Windows NT执行体的一部分运行。
文件系统过滤驱动可以过滤一个或多个文件系统或文件系统卷的I/O操作。按不同的种类划分，文件系统过滤驱动可以分成日志记录、系统监测、数据修改或事件预防几类。通常，以文件系统过滤驱动为核心的应用程序有防毒软件、加密程序、分级存储管理系统等。
二、文件系统过滤驱动并不是设备驱动
设备驱动是用来控制特定硬件I/O设备的软件组件。例如：DVD存储设备驱动是一个DVD驱动。
相反，文件系统过滤驱动与一个或多个文件系统协同工作来处理文件I/O操作。这些操作包括：创建、打开、关闭、枚举文件和目录；获取和设置文件、目录、卷的相关信息；向文件中读取或写入数据。另外，文件系统过滤驱动必须支持文件系统特定的功能，例如缓存、锁定、稀疏文件、磁盘配额、压缩、安全、可恢复性、还原点和卷装载等。
下面两部分详细的阐述了文件系统过滤驱动和设备驱动之间的相似点与不同点。

三、安装文件系统过滤驱动
对于Windows XP和后续操作系统来说，可以通过INI文件或安装应用程序来安装文件系统过滤驱动（对于Windows 2000和更早的操作系统，过滤驱动通常通过服务控制管理器Service Control Manager来进行安装）。
四、初始化文件系统过滤驱动
与设备驱动类似，文件系统过滤驱动也使用DriverEntry例程进行初始化工作。在驱动程序加载后，加载驱动相同的组件将通过调用驱动程序的 DriverEntry例程来对驱动程序进行初始化工作。对于文件系统过滤驱动来说，加载和初始化过滤驱动的系统组件为I/O管理器。
DriverEntry例程运行于系统线程上下文中，其IRQL = PASSIVE_LEVEL。本例程可分页，详细信息参见MmLockPagableCodeSection。
DriverEntry例程定义如下：
NTSTATUS
DriverEntry (
IN PDRIVER_OBJECT DriverObject,
IN PUNICODE_STRING RegistryPath
)
本例程有两个输入参数。第一个参数，DriverObject为系统在文件系统过滤驱动加载时所创建的驱动对象；第二个参数，RegistryPath为包含驱动程序注册键路径的Unicode字符串。
文件系统过滤驱动按如下顺序执行DriverEntry例程：

01、创建控制设备对象：

文件系统过滤驱动的DriverEntry例程通常以创建控制设备对象作为该例程的起始。创建控制设备对象的目的在于允许应用程序即使在过滤驱动加载到文件系统或卷设备对象之前也能够直接与过滤驱动进行通信。
注意：文件系统也会创建控制设备对象。当文件系统过滤驱动将其自身附加到文件系统之上时（而不是附加到某一特定文件系统卷），过滤驱动同样将其自身附加到文件系统的控制设备对象之上。

在FileSpy驱动范例中，控制设备对象按如下方式创建：

RtlInitUnicodeString(&nameString, FILESPY_FULLDEVICE_NAME);
status = IoCreateDevice(
DriverObject, //DriverObject
0, //DeviceExtensionSize
&nameString, //DeviceName
FILE_DEVICE_DISK_FILE_SYSTEM, //DeviceType
FILE_DEVICE_SECURE_OPEN, //DeviceCharacteristics
FALSE, //Exclusive
&gControlDeviceObject); //DeviceObject

RtlInitUnicodeString(&linkString, FILESPY_DOSDEVICE_NAME);
status = IoCreateSymbolicLink(&linkString, &nameString);

与文件系统不同，文件系统过滤驱动并不是一定要为其控制设备对象命名。如果传递给DeviceName参数一个非空（Non-NULL）值，该值将作为控制设备对象的名称。接下来，在前面的代码范例中DriverEntry可以调用IoCreateSymbolicLink例程来将该对象的核心模式名称与应用程序可见的用户模式名称关联到一起（同样可以通过调用IoRegisterDeviceInterface来使设备对象对应用程序可见）。
注意：由于控制设备对象是唯一不会附加到设备堆栈中的设备对象，因此控制设备对象是唯一的可安全命名的设备对象。由此，是否为文件系统过滤驱动的控制设备对象是否命名是可选的。
注意：文件系统的控制设备对象必须命名。过滤设备对象从不命名。

㈧ 文件过滤驱动开发中，在IRP_MJ_WRITE 中获取将要写入文件的内容，请问这些内容是以什么方式展示的呢如何

读IRP的缓冲区啊。。。

㈨ 文件过滤驱动和磁盘过滤驱动有什么区别

神马狗屁老师教的啊

㈩ 怎么用代码实现WDM文件过滤驱动安装

为了让这个驱动被系统加载，必须创建一个inf文件。由于是使用现成的例子，因此这一步也可以省下来。直接右键点击例子中的inf文件，在弹出的菜单中选择“安装”即可。
这里要注意的是，inf中的StartType参数，它可以控制驱动被加载的方式：
SERVICE_AUTO_START (2) 安全模式下不会自动加载 SERVICE_BOOT_START (0) 在系统安全模式下启动时 驱动也会自动加载
SERVICE_DEMAND_START(3) 则驱动不会自动加载
因为是测试，我使用SERVICE_DEMAND_START，即由手动加载驱动。例子是miniFilter驱动，因此可以在命令提示行中用“fltmc load 驱动名称”来加载，相应的卸载是“fltmc unload”。如果是其它驱动，则用"net start 驱动名称"来加载，相应的卸载是"net stop 驱动名称"。注意驱动名称不是文件名，而是inf中[Settings]的ServiceName值。驱动要发布时，也可以通过CreateService & StartService API来动态安装。
Inf文件的写法，可以参考例子，或者拿现成的改一改。下面的是摘自驱动开发网的
XiangXiangRen整理的Inf文件，改起来比较方便，谢谢XiangXiangRen