Драйвер файл систем фільтр менеджер не запущено. Драйвери фільтрів файлової системи Як встановити безкоштовний антивірус Аваст
Драйвер фільтра, що займає в ієрархії більший рівень, ніж драйвер файлової системи, називається драйвером фільтра файлової системи(file system filter driver). (Про драйвери фільтрів див. розділ 9.) Його здатність бачити всі запити до файлової системи і при необхідності модифікувати або виконувати їх, уможливлює створення таких програм, як служби реплікації віддалених файлів, шифрування файлів, резервного копіюваннята ліцензування. B будь-який комерційний антивірусний сканер, що перевіряє файли на «льоту», входить драйвер файлової системи, який перехоплює IRP-пакети з командами IRP_MJ_CREATE, що видаються при кожному відкритті файлу програмою. Перш ніж передати такий IRP драйверу файлової системи, якому адресована дана команда, антивірусний сканер перевіряє файл на наявність вірусів. Якщо файл чистий, антивірусний сканер передає IRP далі ланцюжком, але якщо файл заражений, сканер звертається до свого сервісного процесу для видалення або лікування цього файлу. Якщо вилікувати файл не можна, драйвер фільтра відхиляє IRP (зазвичай помилка «доступ заборонено»), щоб вірус не зміг активізуватися.
У цьому розділі ми опишемо роботу двох специфічних драйверів фільтрів файлової системи: Filemon та System Restore. Filemon – утиліта для моніторингу активності файлової системи (з сайту wwwsystntemals.com),використовується в багатьох експериментах у цій книзі, є прикладом пасивного драйвера фільтра, який не модифікує потік IRP між додатками і драйверами файлової системи. System Restore (Відновлення системи) - функціональність, введена в Windows XP, - використовує драйвер фільтра файлової системи для спостереження за змінами в ключових системних файлах і створює резервні копії, щоб ці файли можна було повертати в ті стани, які були в них в моменти створення точок відновлення.
ПРИМІТКА B Windows XP Service Pack 2 і Windows Server 2003 включений Filesystem Filter Manager (\Windows\System32\Drivers\Fltmgr. sys) як частина моделі "порт-мініпорт" для драйверів фільтрів файлової системи. Цей компонент буде доступний і для Windows 2000. Filesystem Filter Manager кардинально спрощує розробку драйверів фільтрів, надаючи інтерфейс мініпорт-драйверів фільтрів до підсистеми вводу-виводу Windows, а також підтримуючи послуги для запиту імен файлів, підключення до томів та взаємодії з іншими фільтрами. Компанії-розробники, у тому числі Microsoft, будуть писати нові фільтри файлових систем на основі інфраструктури, що надається Filesystem Filter Manager, та переносити на неї існуючі фільтри.
Іноді помилки filtermanager.dll та інші системні помилки DLL можуть бути пов'язані з проблемами в реєстрі Windows. Декілька програм може використовувати файл filtermanager.dll, але коли ці програми видалені або змінені, іноді залишаються "осиротілі" (хибні) записи реєстру DLL.
В принципі, це означає, що в той час, як фактичний шлях до файлу міг бути змінений, його неправильне колишнє розташування досі записано в реєстрі Windows. Коли Windows намагається знайти файл за цим неправильним посиланням (на розташування файлів на вашому комп'ютері), може виникнути помилка filtermanager.dll. Крім того, зараження шкідливим програмним забезпеченням могло пошкодити записи реєстру, пов'язані з Third-Party Application. Таким чином, ці пошкоджені записи реєстру DLL необхідно виправити, щоб усунути проблему в корені.
Редагування реєстру Windows вручну з метою видалення ключів filtermanager.dll, що містять помилки, не рекомендується, якщо ви не є фахівцем з обслуговування ПК. Помилки, допущені під час редагування реєстру, можуть призвести до непрацездатності вашого ПК і завдати непоправної шкоди вашій операційній системі. Насправді навіть одна кома, поставлена не в тому місці, може перешкодити завантаженню комп'ютера!
У зв'язку з подібним ризиком ми рекомендуємо використовувати надійні інструменти очищення реєстру, такі як WinThruster (розроблений Microsoft Gold Certified Partner), щоб просканувати та виправити будь-які проблеми, пов'язані з filtermanager.dll. Використовуючи очищення реєстру, ви зможете автоматизувати процес пошуку пошкоджених записів реєстру, посилань на відсутні файли (наприклад, викликають помилку filtermanager.dll) та неробочих посилань усередині реєстру. Перед кожним скануванням автоматично створюється резервна копія, яка дозволяє скасувати будь-які зміни одним кліком та захищає вас від можливого пошкодження комп'ютера. Найприємніше, що усунення помилок реєстру може різко підвищити швидкість та продуктивність системи.
Попередження:Якщо ви не є досвідченим користувачем ПК, ми не рекомендуємо редагувати реєстр Windows вручну. Некоректне використання Редактора реєстру може призвести до серйозних проблем і вимагати переустановки Windows. Ми не гарантуємо, що проблеми, які є результатом неправильного використання Редактора реєстру, можуть бути усунені. Ви користуєтеся Редактором реєстру на свій страх та ризик.
Перед тим, як вручну відновлювати реєстр Windows, необхідно створити резервну копію, експортувавши частину реєстру, пов'язану з filtermanager.dll (наприклад, Third-Party Application):
- Натисніть на кнопку Почати.
- Введіть " command" рядку пошуку... ПОКИ НЕ НАТИСНІТЬ ENTER!
- Утримуючи клавіші CTRL-Shiftна клавіатурі, натисніть ENTER.
- Буде відображено діалогове вікно для доступу.
- Натисніть Так.
- Чорний ящик відкривається миготливим курсором.
- Введіть " regedit" і натисніть ENTER.
- У Редакторі реєстру виберіть ключ, пов'язаний з filtermanager.dll (наприклад, Third-Party Application), для якого потрібно створити резервну копію.
- У меню ФайлВиберіть Експорт.
- У списку Зберегти увиберіть папку, до якої потрібно зберегти резервну копію ключа Third-Party Application.
- В полі ім'я файлувведіть назву файлу резервної копії, наприклад "Third-Party Application резервна копія".
- Переконайтеся, що у полі Діапазон експортувибрано значення Вибрана гілка.
- Натисніть Зберегти.
- Файл буде збережено з розширенням.reg.
- Тепер у вас є резервна копія запису реєстру, пов'язаного з filtermanager.dll.
Наступні кроки при ручному редагуванні реєстру не будуть описані в цій статті, оскільки з ймовірністю можуть призвести до пошкодження вашої системи. Якщо ви бажаєте отримати більше інформації про редагування реєстру вручну, будь ласка, ознайомтеся з посиланнями нижче.
І, не дочекавшись обіцяного вами продовження, вирішив самостійно інсталювати собі на домашній комп'ютер цю антивірусну програму, але зіткнувся з деякими неясностями. Установник завантажив на офіційному сайті www.avast.com/ua, потім встановив собі на домашній комп'ютер цю програму, А її виявляється ще необхідно реєструвати. З цим впорався, тепер у налаштуваннях розібратися не можу. Саме мене цікавить функція Sandbox або пісочниця, про неї зараз багато хто говорить, це своєрідне віртуальне середовище, в якому можна запустити будь-яку підозрілу програму, не боячись у разі чого заразити всю систему. Так от, у налаштуваннях вона є, а от працює чи ні не зрозумію. І ще не можу знайти таку корисну функцію, як Сканування при завантаженні, кажуть цей дуже хороший засіб від банерів здирників і якщо вона включена, Аваст проводить перевірку завантажувальних файлів до завантаження самої Windows. Буду вдячний за будь-яку допомогу. Максим.
Як встановити безкоштовний антивірус Аваст
Дана стаття написана як продовження статті Який антивірус найкращий, де ми розібрали питання за яким принципом будують свій захист практично всі антивірусні продукти, як платні так і безкоштовні. Чим вони відрізняються між собою, а так само багато іншого, наприклад, як найкраще побудувати захист свого домашнього комп'ютеравід вірусів і які, крім антивірусу, для цього використовувати програми. Тут же ми з вами розглянемо питання, як завантажити встановити безкоштовний антивірусАваст. Ми з вами розберемо основні налаштування програми, її обслуговування, сканування на віруси тощо.
Примітка: Друзі, якщо ви захочете видалити антивірусну програму Аваст, скористайтеся . Хороший оглядплатних та безкоштовних антивірусів чекає на вас у нашій статті " "
В основному захист наш антивірусної програмиАваст, побудована на дуже потужному резидентному захисті. Відбувається за допомогою своєрідних засобів екранів. Тобто модулі програми, постійно присутні в оперативної пам'ятіта відстежують все, що відбувається на комп'ютері.
Наприклад, Екран файлової системи є основним засобом захисту і стежить за всіма операціями, що відбуваються з вашими файлами. Мережевий екран-контролює мережеву активність та зупиняє віруси, які намагаються пройти через інтернет. Поштовий екран - слідкує за електронною поштоюі звичайно перевіряє всі листи, що приходять вам на комп'ютер. Ще програма Аваст має досить просунутий Евристичний аналіз, ефективний проти руткітів.
Ось вам і безкоштовний антивірус!
Перш ніж встановити AVAST! Free antivirusВи повинні знати, що використовувати його можна тільки вдома. Завантажити антивірус можна на сайті www.avast.com/ua. Якщо у вас виникнуть проблеми зі скачуванням антивірусу Аваст, завантажте його на сторінці офіційного дистриб'ютора "Авсофт", за адресою:
www.avsoft.ru/avast/Free_Avast_home_edition_download.htm
Ну а ми завантажуватимемо наш антивірус на офіційному сайті
www.avast.com/ru-ru/free-antivirus-download . Виберіть Free Antivirusта натисніть скачати,
у вікні Welcome Avast Free Antivirus users, натисніть на кнопку Download Now.
Завантажили, запускаємо інсталятор програми. З сьомої версії є вибір між звичайною установкою і установкою як другий антивірус. Якщо у вас перший антивірус встановлено Касперський, можливий конфлікт.
Можете вибрати експрес-установку.
Якщо вам потрібен браузер Google Chrome, поставте галочку. Установка відбувається протягом однієї-двох хвилин.
Встановлення завершено. Тиснемо готово.
Багато хто потрапивши у головне вікно програми, дивується, що антивірус AVAST потрібно зареєструвати, але це насправді так. Реєстрація дуже проста. Натискаємо реєструватися.
Обираємо Базовий захист AVAST! Free antivirus.
Заповнюємо дуже просту форму. Тиснемо реєстрація на безкоштовну ліцензію.
Наша версія антивірусу зареєстрована, на Поштова скринькаприйде такий лист.
Тут нам пропонують тимчасово на 20 днів перейти на версію Internet Security, після закінчення цього терміну, за бажання можна повернутися на безкоштовну Freeчи купити версію Internet Security. Щоб вам було з чим порівнювати, скористайтеся спочатку версією AVAST! Free antivirus, на платну версію можна перейти будь-якої миті. Натисніть праворуч верхньому куткуна хрестик і закрийте вікно.
Через 365 днів вам потрібно буде знову пройти реєстрацію і все. Як бачите, завантажити та встановити безкоштовний антивірус Аваст, в принципі не важко, не складно його та зареєструвати.
Можна сказати все дуже зручно і зрозуміло, у всьому управлінні розбереться навіть початківець. Тепер друзі увагу, за промовчанням програма налаштована дуже добре, але є деякі налаштування гідні вашої уваги. Оновлюється Аваст автоматично, зазвичай відразу після ввімкнення комп'ютера та запуску операційної системи.
За бажання ви можете перевірити чи є оновлення на офіційному сайті у будь-який момент. Виберіть Обслуговування Оновити програму. Також можете оновити модуль сканування та виявлення вірусів.
Сканувати ваш комп'ютер на віруси можна кількома способами. Натисніть на кнопку Сканувати комп'ютер. І виберіть потрібний вам варіант, наприклад
Експрес сканування- будуть проскановані об'єкти автозапуску та всі області розділу з операційною системою, де зазвичай гніздяться віруси
Повне сканування комп'ютера(без коментарів)
Сканування знімних носіїв- скануються ваші флешки, вінчестери USB тощо
Виберіть папку для сканування, Ви самостійно вибираєте папку для сканування на предмет присутності вірусів.
А можете клацнути на будь-якій папці правою кнопкою миші і в меню вибрати Сканувати і дана папкабуде перевірено на віруси.
Сканування під час завантаження ОС. Якщо вам, наприклад, чекає довгий серфінг в інтернеті, ви можете заздалегідь включити перевірку завантажувальних файлів і при наступному завантаженні системи. Аваст перевірить всі файли, що стосуються нормального завантаження системи в обхід самої Windows, особисто я подібної функції, ніде крім Аваста не помічав. Дуже хороший засіб, що допомагає від банерів здирників, правда не в 100% випадків.
Вікно антивірусу Аваст перед основним завантаженням Windows.
Автоматична пісочниця (« AutoSandbox»). Запускає підозрілі додатки віртуальному середовищі, природно відокремленої від нормальної системи У нашій з вами безкоштовній версії AVAST! Free antivirus, запустяться тільки ті програми, які Аваст визнає підозрілими сам, якщо програма виявиться шкідливою, вікно програми просто закриється. У платних версіях AVAST! Pro Antivirus та AVAST! Internet Security, ви зможете самі запускати будь-яку програму в даному середовищі, за своїм бажанням.
Блокування певних веб-сайтів за їхньою адресою. Ви можете використовувати цю функцію як засіб батьківського контролю.
Все інше доступне у вікні Екрани реального часута вікні Налаштування. Можна сказати, що середнього користувача за замовчуванням налаштування повинні влаштувати, якщо що незрозуміло пишіть.
<= IRP_MJ_MAXIMUM_FUNCTION; ++i) { DriverObject->MajorFunction[i] = FsFilterDispatchPassThrough; ) DriverObject->
// // Global data FAST_IO_DISPATCH g_fastIoDispatch = ( sizeof(FAST_IO_DISPATCH), FsFilterFastIoCheckIfPossible, ... ); // // DriverEntry - Вхідний пункт driver NTSTATUS DriverEntry(__inout PDRIVER_OBJECT DriverObject, __in PUNICODE_STRING RegistryPath) ( ... // // Set fast-io dispatch table. // DriverObject->
Setting driver unload routine
// // DriverEntry - Enter point of driver NTSTATUS DriverEntry(__inout PDRIVER_OBJECT DriverObject, __in PUNICODE_STRING RegistryPath) ( ... // // Set driver unload routine (debug purpose only). // DriverObject->
< numDevices; ++i) { FsFilterDetachFromDevice(devList[i]); ObDereferenceObject(devList[i]); } KeDelayExecutionThread(KernelMode, FALSE, &interval); } }
IrpDispatch.c
Dispatch pass-through
// // PassThrough IRP Handler NTSTATUS FsFilterDispatchPassThrough(__in PDEVICE_OBJECT DeviceObject, __in PIRP Irp) ( PFSFILTER_DEVICE_EXTENSION pDevExt = (PFSFILTER_DEVICE_EXTENSION)DeviceObject->Device
Dispatch create
// // IRP_MJ_CREATE IRP Handler NTSTATUS FsFilterDispatchCreate(__in PDEVICE_OBJECT DeviceObject, __in PIRP Irp) ( PFILE_OBJECT pFileObject = IoGetCurrentIrpStackLocation(Irp)->FileObject;
FastIo.c
// Macro to test if FAST_IO_DISPATCH handling routine is valid #define VALID_FAST_IO_DISPATCH_HANDLER(_FastIoDispatchPtr, _FieldName) \ (((_FastIoDispatchPtr) != NULL) && \ (((_FastIoDispatchPtr)->SizeOfFastIoDispatch) >= \ (FIELD_OFFSET(FAST_IO_DISPATCH, _FieldName) + sizeof(void *))) && \ ((_FastIoDispatchPtr)->_FieldName != NULL))
Fast I/O pass-through
BOOLEAN FsFilterFastIoQueryBasicInfo(__in PFILE_OBJECT FileObject, __in BOOLEAN Wait, __out PFILE_BASIC_INFORMATION Buffer, __out PIO_STATUS_BLOCK IoStatus, __in PDEVICE_OBJECT DeviceObject) ( // // Pass through logic for this type of Fast I/O // PDEVICE_OBJECT nextDeviceObject = ((PFSFILTER_DEVICE_EXTENSION) DeviceObject- >DeviceExtension)->AttachedToDeviceObject; PFAST_IO_DISPATCH fastIoDispatch = nextDeviceObject->DriverObject ->FastIoDispatch;
Fast I/O detach device
Notification.c
AttachDetach.c
Attaching
Detaching
void FsFilterDetachFromDevice(__in PDEVICE_OBJECT DeviceObject) ( PFSFILTER_DEVICE_EXTENSION pDevExt = (PFSFILTER_DEVICE_EXTENSION) DeviceObject->DeviceExtension; IoDetachDevice(pDevExt->
// // Misc BOOLEAN FsFilterIsMyDeviceObject(__in PDEVICE_OBJECT DeviceObject) ( return DeviceObject->
Sources and makefile
Контенти з файлів:
The makefile is standard:
SC.EXE overview
Sc start FsFilter
Stop file system driver
Sc stop FsFilter
Sc delete FsFilter
Resulting script
Getting more advanced
Conclusion
У нашому літературі, ми надіслали вас з простими кроками для створення файлового файлового файлового файлу driver. Інші файлові файлові файли driver issues havealso been discussed. We"ve considered the file system device stack with attached filters and have discussed how to monitor debug output from the driver. Ви можете використовувати resources in this article as a skeleton for developing your own file system filter driver and modify its behavi потрібні.
References
- Content for File System або File System Filter Developers
- sfilter DDK sample
Hope you enjoyed нашим Windows driver development tutorial. Ready to hire an experienced team to work on your project like file system filter driver development? Just contact us and we will provide you all details!
Цей tutorial дає вам змогу скористатися підтримуваними кроками для простий файлової системи файлового driver development. Demo driver, що ми кажете, що витворити друковані назви з відкритих файлів для розблокування.
Цей матеріал є написаний для інженерів з основним Windows Driver Development Experience як добре, як знання C/C++. У додатку, він може також бути використаний для людей без глибокого підглиблення Windows driver development.
Written by:
Sergey Podobriy,
Leader of Driver Team
What is Windows file system filter driver?
A Windows file system Filter driver is called during each file system I/O operation (create, read, write, rename, etc.). Там, вона є здатною до зміни бігу файлу системи. File system filter drivers є comparable до legacy drivers, алез них вимагають several special development steps. Захист, backup, snapshot, і анти-viruse software використовують такі drivers.
Розробка Simple File System Filter Driver
Before starting development
Перший, в рамках того, щоб розробити файлову систему файлового driver, ви потребуєте IFS або WDK kit від Microsoft Website . Ви також маєте набір %WINDDK% довжина параметра до мережі, де ви повинні налаштувати WDK/IFS kit.
Attention:Будь-який дрібний error в файловій системі driver може спричинити BSOD або system instability.
Main.c
File system filter driver entry
Це access point for any driver, including for file system filter driver. Перше, що ми повинні бути в магазині DriverObject як загальна variable (у нас буде використовувати його останнє):
// // Global data PDRIVER_OBJECT g_fsFilterDriverObject = NULL; // // DriverEntry - Enter point of driver NTSTATUS DriverEntry (__inout PDRIVER_OBJECT DriverObject, __in PUNICODE_STRING RegistryPath) ( NTSTATUS status = STATUS_SUCCESS; ULONG i = 0; // ASSERT (FALSE); // This / Store our driver object. // g_fsFilterDriverObject = DriverObject; ... )
Setting the IRP dispatch table
Наступний крок у розробці файлової системи фільтра файлів є populating IRP dispatch table with function pointers to IRP handlers. Будь-який єдиний pass-through IRP handler в нашому офіцері driver, що sends requests further. We'll consider the implementation of IRP handlers later.
// // DriverEntry - Enter point of driver NTSTATUS DriverEntry (__inout PDRIVER_OBJECT DriverObject, __in PUNICODE_STRING RegistryPath) ( ... // // Initialize driver object dispatch table. // for (i = 0; i<= IRP_MJ_MAXIMUM_FUNCTION; ++i) { DriverObject->MajorFunction[i] = FsFilterDispatchPassThrough; ) DriverObject->MajorFunction = FsFilterDispatchCreate; ... )
Setting fast I/O dispatch table
File system filter driver requires fast I/O dispatch table. Не ввімкнути цей шрифт повинен бути спрямований на систему розмаху. Fast I/O є різною мірою до запобіжних I/O функцій, що "з Faster than IRP. цей випадок, IRP буде створений.
// // Global data FAST_IO_DISPATCH g_fastIoDispatch = ( sizeof(FAST_IO_DISPATCH), FsFilterFastIoCheckIfPossible, ... ); // // DriverEntry - Enter point of driver NTSTATUS DriverEntry(__inout PDRIVER_OBJECT DriverObject, __in PUNICODE_STRING RegistryPath) (... // // Set fast-io dispatch table. // DriverObject->FastIoDispatch = &g_fastIoDis
Зареєструвати повідомлення про файл системних змін
При розробці файлової системи filtr driver, ми повинні реєструвати notification про файл файлової системи зміни. Це є важливим для запису, якщо файлова система є активованою або розблокованою в режимі виконання файлу driver.
// // DriverEntry - Enter point driver NTSTATUS DriverEntry(__inout PDRIVER_OBJECT DriverObject, __in PUNICODE_STRING RegistryPath) ( ... // // Зареєстрований реєстраційний шлях для файлової системи зміни. // status = IoRegister (!NT_SUCCESS(status)) ( return status; ) ... )
Setting driver unload routine
Загальна частина файлової системи driver initialization is setting an unload routine. Цей routine буде вказати, що ви навантажуєте і завантажити вашу систему файлового файлу файлового файлу без потреби в reboot. Недостатньо, цей driver тільки вірно стає необов'язковим для розблокування ресурсів, як це є неможливим для завантаження файлових систем телефонів безпечно.
// // DriverEntry - Вхідний пункт driver NTSTATUS DriverEntry(__inout PDRIVER_OBJECT DriverObject, __in PUNICODE_STRING RegistryPath) ( ... // // Set driver unload rutine (debug purpose only). // DriverObject->DriverUnload STATUS_SUCCESS;)
File system driver unload implementation
Driver unload routine cleans up resources and deallocates them. Next step in file system driver development is unregistering notification for file system changes.
// // Unload routine VOID FsFilterUnload(__in PDRIVER_OBJECT DriverObject) ( ... // // Unregistered callback routine for file changes. // IoUnregisterFsRegistrationChange(DriverObject, FsFilterNotificationCallback); ... )
Після того, як зареєструвати повідомлення, ви повинні пропустити через створені пристрої і довідки і повернути їх. Вони йдуть на шість секунд until all outstanding IRPs буде повністю. Note that this is a debug-solly solution. Це твори в великі числа номерів, але не є гарантією, що вона буде працювати в вся річ.
// // Unload routine VOID FsFilterUnload(__in PDRIVER_OBJECT DriverObject) ( ... for (;;) ( IoEnumerateDeviceObjectList(DriverObject, devList, sizeof(devList), &numDevices); if (0 == numDevices) ( break; ) min(numDevices, RTL_NUMBER_OF(devList));for (i = 0; i< numDevices; ++i) { FsFilterDetachFromDevice(devList[i]); ObDereferenceObject(devList[i]); } KeDelayExecutionThread(KernelMode, FALSE, &interval); } }
IrpDispatch.c
Dispatch pass-through
Тільки відповідність цього IRP handler є pass requests на next driver. Наступний driver об'єкт є закріпленим в нашому пристрої розширення.
// // PassThrough IRP Handler NTSTATUS FsFilterDispatchPassThrough(__in PDEVICE_OBJECT DeviceObject, __in PIRP Irp) ( PFSFILTER_DEVICE_EXTENSION pDevExt = (PFSFILTER_DEVICE_EXTENSION)DeviceObject->DeviceExtension; IoSkipCurrentIrpStackLocation(Irp); return IoCallDriver(pDevExt->AttachedToDeviceObject, Irp); )
Dispatch create
Every file create operation invokes цей IRP handler. Після схоплення файлу назви з PFILE_OBJECT , ми print it to debug output. Після того, як ви прослуховуєте pass-through handler, що "вказано вище. Замітка, що дійсний файл ім'я exists в PFILE_OBJECT тільки цілий рядок створення створеної програми є завершено! party resources, ви можете побачити більше інформації про відтворення файлів Name в цих випадках.
// // IRP_MJ_CREATE IRP Handler NTSTATUS FsFilterDispatchCreate(__in PDEVICE_OBJECT DeviceObject, __in PIRP Irp) ( Irp);
FastIo.c
Нема всіх фастових I/O routines повинні бути здійснені за межами файлової системи, ми будемо досліджувати validity of fast I/O dispatch table for next driver using the following macro:
// Macro to test if FAST_IO_DISPATCH handling routine is valid #define VALID_FAST_IO_DISPATCH_HANDLER(_FastIoDispatchPtr, _FieldName) \ (((_FastIoDispatchPtr) != NULL) && \ (((_FastIoDispatchPtr)->SizeOfFastIoDispatch) >= \ (FIELD_OFFSET(FAST_IO_DISPATCH, _FieldName) + sizeof(void *))) && \ ((_FastIoDispatchPtr)->_FieldName != NULL))
Fast I/O pass-through
Unlike IRP requests, проходячи через fast-IO requests requires a huge amount of code because each fast I/O function has its own set of parameters. Після того, як ви можете пізнати загальний pass-through функцій:
BOOLEAN FsFilterFastIoQueryBasicInfo(__in PFILE_OBJECT FileObject, __in BOOLEAN Wait, __out PFILE_BASIC_INFORMATION Buffer, __out PIO_STATUS_BLOCK IoStatus, __in PDEVICE_OBJECT DeviceObject) ( // // Pass through logic for this type of Fast I/O // PDEVICE_OBJECT nextDeviceObject = ((PFSFILTER_DEVICE_EXTENSION) DeviceObject- >DeviceExtension)->AttachedToDeviceObject; PFAST_IO_DISPATCH fastIoDispatch = nextDeviceObject->DriverObject ->FastIoDispatch; if (VALID_FAST_IO_DISPATCH_HANDLER(fastIoDispatch, FastIoQueryBasicInfo)) ( return (fastIoDispatch->FastIoQueryBasicInfo)(FileObject, Wait, Buffer, IoStatus, nextDeviceObject); ) return FALSE ;)
Fast I/O detach device
Detach device is a specific fast I/O request that we should handle without calling the next driver. Ви повинні скористатися нашим filter device after detaching it з файлової системи device stack. Після того, як ви можете додати example code demonstrating how to easily manage this request:
VOID FsFilterFastIoDetachDevice(__in PDEVICE_OBJECT SourceDevice, __in PDEVICE_OBJECT TargetDevice) ( // // Detach з файлової системи з volume device object. // IoDetachDevice(TargetDevice); IoDeleteDevice(SourceDevice)
Notification.c
Common file system consists of control devices and volume devices. Volume devices attached to the storage device stack. Control device is registered як файл системи.
Callback is invoked for all active file systems which time a file system ether registers or unregisters itself as active. Це є велике місце для підключення або розгортання нашої системи файлової системи файлу файлу. Якщо файл системи функціонує його, ми будемо керувати його контрольним пристроєм (якщо він не врахований) і вказує на його volume devices й до них. При деактивації файлової системи, ми вивчаємо її контрольний пристрій stack, керуємо нашим пристроєм, і докладно це. Відображення з файлової системи volume devices працює в FsFilterFastIoDetachDevice routine, що буде описаний earlier.
// // Цей routine is invoked whenever file system has either registered or // unregistered itself as an active file system. VOID FsFilterNotificationCallback(__in PDEVICE_OBJECT DeviceObject;
AttachDetach.c
Цей файл містить додаткові routines для підключення, розпізнавання, і керування, якщо в нашому фільтрі є подібно.
Attaching
У відповідь на те, що потрібно зателефонувати IoCreateDevice для створення нового пристрою об'єкта з пристроєм розширення, а потім propagat device object flags від пристрою об'єкта, щоб скористатися завданням на (DO_BUFFERED_IO, DO_DIRECT_IO, FILE_DEVICE Існує завдання IoAttachDeviceToDeviceStackSafe in loop with delay in case of failure. Наше рішення реакції може бути неможливим, якщо пристрій об'єкта не може бути завершений ініціалізований. Це може бути зроблено, якщо ми намагаємося скопіювати volume-тільки filtr. Після того, як пристосовується, ми беруть участь у “пристрої до” пристрою об'єкта до device extension and clear the DO_DEVICE_INITIALIZING flag. Будь ласка, можу повідомити про те, що пристрій extension:
// // Structures typedef struct _FSFILTER_DEVICE_EXTENSION ( PDEVICE_OBJECT AttachedToDeviceObject; ) FSFILTER_DEVICE_EXTENSION, *PFSFILTER_DEVICE_EXTENSION;
Detaching
Detaching is rather simple. Від device extension, we get the device, that we attached to and the call IoDetachDevice and IoDeleteDevice.
void FsFilterDetachFromDevice(__in PDEVICE_OBJECT DeviceObject) ( PFSFILTER_DEVICE_EXTENSION pDevExt = (PFSFILTER_DEVICE_EXTENSION) DeviceObject->DeviceExtension; IoDetachDevice(pDevExt->AttachedToDeviceObject)
Checking if our device is attached
Щоб виконати, якщо ви збираєтеся скористатися пристроєм або не, ви повинні скористатися пристроєм керування за допомогою IoGetAttachedDeviceReference і IoGetLowerDeviceObject, буде видно для наших пристроїв. Ви можете виявити нашу установку за допомогою відповідного пристрою driver object with that of our driver one (g_fsFilterDriverObject).
// // Misc BOOLEAN FsFilterIsMyDeviceObject(__in PDEVICE_OBJECT DeviceObject) ( return DeviceObject->DriverObject == g_fsFilterDriverObject; )
Sources and makefile
Utility that builds the driver, використовує джерела і файли файлів. Ці файли містять проект проміжок і джерела файлу Name.
Контенти з файлів:
TARGETNAME = FsFilter TARGETPATH = obj TARGETTYPE = DRIVER DRIVERTYPE = FS SOURCES = \ Main.c \ IrpDispatch.c \ AttachDetach.c \ Notification.c \ FastIo.c
The makefile is standard:
Include $(NTMAKEENV)\makefile.def
MSVC makefile project build command line is:
Call $(WINDDK)\bin\setenv.bat $(WINDDK) chk wxp cd /d $(ProjectDir) build.exe –I
How To Install a File System Filter Driver
SC.EXE overview
We will use sc.exe (sc - service control) для управління нашим driver. Ви можете використовувати цю командну лінію інструмента для пошуку або зміни встановлених послуг database. Це шипується з Windows XP і високою, або може бути в Windows SDK/DDK.
Install file system filter driver
Для налаштування файлової системи файловий driver, call:
Sc create FsFilter type=filesys binPath=c:\FSFilter.sys
Це буде створено новий центр служби з name FsFilter with service type of filesystem and binary path of c:\FsFilter.sys.
Start file system filter driver
Натисніть кнопку file file filter driver, call:
Sc start FsFilter
The FsFilter service will be started.
Stop file system driver
Перейти до файлу файлової системи driver, call:
Sc stop FsFilter
The FsFilter service був би stopped.
Uninstall file system filter driver
Для налаштування файлової системи файлового driver, call:
Sc delete FsFilter
Ця команда встановлює службу manager, щоб remove service entry with name FsFilter .
Resulting script
Ви можете почати всі ці команди в один batch file до make driver testing easier. Більше є contents of our Install.cmd command file:
Sc create FsFilter type=filesys binPath=c:\FsFilter.sys sc start FsFilter pause sc stop FsFilter sc delete FsFilter pause
Running a Sample of the File System Filter Driver
Нижче буде йти до показу як файл системи файлових робіт. Для цього, ми будемо використовувати Sysinternals DebugView для Windows для monitor debug output як добре, як OSR Device Tree для перегляду пристроїв і drivers.
First, let’s build the driver. Після того, як буде завантажено файл FsFilter.sys.
File system filter driver and install script on the C drive.
Now we"ll run Install.cmd, які встановлюють і переміщують файловий системний driver, і вони waits for user input.
File file filter driver має бути успішно налагодженим і started.
Now we should start the DebugView utility.
At last, we can see what files were opened! Це означає, що наші filtr роботи. Тепер ми повинні керувати пристосуванням підприємства і місцем нашого driver there.
Цей driver driver в компанії strom.
Там є різні пристрої створені за нашого driver. Let's open the NTFS driver and take a look at the device tree:
Цей файл використовується для NTFS.
We"re attached now. Let's таке a look at other file systems:
Цей filter є такожвключено до інших файлових систем.
Врешті-решт, ми можемо натиснути будь-який кнопки для того, щоб продовжувати налаштувати свій script, stopping і uninstalling driver.
Наші файлові системи driver filter буде бути переміщений і не налаштований.
We can press F5 to refresh the device tree list:
Наші filtr devices є не longer в device tree.
Ваша система файлової системи driver has disappeared і система є керування just as before.
Getting more advanced
File system filter driver described above is very simple, and it lacks a number of functions, required for common driver. The idea of this article was to show the easiest way to create a file system filter driver, which is why we described this simple and easy-to-understand development process. Ви можете записати на IRP_MJ_FILE_SYSTEM_CONTROL handler of your own to track newly arrived volumes.
