minifilter相关内容
我正在编写Windows服务以与minifilter(内核)进行通信. 在小型过滤器中使用 FltSendMessage 在服务中使用 FilterGetMessage FilterGetMessage 的状态为成功(状态= 0).但是缓冲区始终为空. 什么是不正确的? 这是我在微型过滤器中的代码:C ++代码 status = FltSendMessage(
..
我正在尝试创建文件系统过滤器(Minifilter)驱动程序.为此,我正在遵循此处提供的教程: https://www.youtube.com/watch? v = ukUf3kSSTOU 在本教程中,您将简要创建一个微型过滤器驱动程序,以阻止您写入名为OPENME.txt的文件. 这是我的代码: #include #include
..
我需要开发一个应用程序,该应用程序可以监视并可能过滤(拒绝调用)文件操作. 看来,开发微型过滤器是“标准"解决方案. 另一种可能的方法是使用API挂钩. 这些相关的解决方案吗? (我读过一些地方的API钩子可能不合适-但没有给出解释) 还有其他选择吗? 解决方案 Microsoft基本上不支持API挂钩(至少在内核空间中).在x64(从Vista或更高版本开始)上,如
..
我正在研究我的第一个文件系统微型过滤器.我正在WDK中使用SwapBuffers示例项目.我已经成功地将该项目从物理笔记本电脑编译并部署到了VM.但是从INF文件安装失败.我在目标计算机上的C:\ DriverTest \ Logs中查看了日志文件,并在日志文件中找到了这些行. UserText="WDTF_TARGETS: Query("HardwareIDs='WDT
..
我创建了自己的微型过滤器驱动程序,例如mini-spy(例如 Windows驱动程序示例).现在,我已经完成驱动程序并使用我们自己的SHA-1公司证书签名.但仍然需要Microsoft登录才能在Windows 10计算机上运行. 我在互联网上搜索了签署我的司机的信息.但这误导了我.如何从Microsoft签署我的驱动程序? 解决方案 是的,新的驱动程序签名系统是一个庞大的PITA,这
..
我想取消我的微型过滤器中的重命名操作.我写了 检测文件何时被重命名的代码,但是我不清楚如何 实际取消操作.有人可以帮我吗? 这是我的回调例程,用于检测文件重命名. FLT_PREOP_CALLBACK_STATUS PreSetInformation( _Inout_ PFLT_CALLBACK_DATA Cbd, _In_ PCFLT_RELATED_OBJECTS
..
我需要: 1.监视某些驱动器/路径上的操作 2.防止某些驱动器/路径上的读取和/或写入操作 例如: C://用户 D: 可以使用 Windows Filesystem Minifilter Drivers ? 我主要对第2步感兴趣。换句话说,一个微过滤器可以取消一个IRP吗? 解决方案 是这是所有可能的文件系统微型过滤器驱动程序。
..
我正在开始一个包含Windows minifilter的原型。 我设置了我的环境: 目标虚拟机(实际上是3:Windows 7,8和8.1) / li> 一台主机开发机(托管Visual Studio 2013和HyperV VM) 我终于管理将测试的Minifilter部署到目标机器,但我的问题是: 我无法打破目标机器中的内核。 当我进行构建并从Visual Stud
..
我使用WDK 7.0构建实用程序编写并编译了一个微型驱动程序,用于Windows 7 32位。然后我使用OSR的驱动程序加载程序实用程序将其安装在运行在VMWare上的Windows 7(32位)机器上。当我运行DbgView时,我可以准确地看到DbgPrint输出。 然后,我编译了使用WDK 8.0集成在Microsoft Visual Studio Pro 2012 for Window
..
我正在开发一个小型过滤器来拦截文件并获取文件名称删除到特定磁盘并获取文件名。 如果我拖动&删除一个文件,我可以得到这个文件名并拦截它成功(这意味着这个文件不是在磁盘上创建的)。 如果我拖动&删除多个文件,我只能获得第一个文件名,而其他不是。但是当我打开磁盘,我没有看到任何文件在这里(这意味着Mini-Filter拦截他们成功)。 所以我无法获取文件名(除了第一个文件) 我截取拖动
..
我有一个微过滤器(内核模式)。我想删除特定路径的文件(\\设备\\ HarddiskVolume1 \\ file.txt的或C:\\ file.txt的)从内核模式 有没有办法做到这一点? 更新:20150130 我尝试使用 ZwDeleteFile常规为
..