豆豆网 > 技术应用 > 程序设计 > VC/VC++ > 正文

VC文件过滤系统驱动开发Filemon学习笔记

http://tech.ddvip.com 2007年11月26日社区交流

关键字： Fibonacci InfoQueue SYGUI 模板元编程单件模式 DB2

内容摘要：WINDOWS文件过滤系统驱动开发，可用于硬盘还原，防病毒，文件安全防护，文件加密等诸多领域。而掌握核心层的理论及实践，对于成为一名优秀的开发人员不可或缺。

　　上面创建设备对象的代码为：ntStatus = IoCreateDevice ( DriverObject, 　　　　　　　　　　　　　　　　sizeof(HOOK_EXTENSION), 　　　　　　　　　　　　　　　　&deviceNameUnicodeString, 　　　　　　　　　　　　　　　　FILE_DEVICE_FILEMON, 　　　　　　　　　　　　　　　　0, 　　　　　　　　　　　　　　　　TRUE, 　　　　　　　　　　　　　　　　&guiDevice ); 　　// 　　// If successful, make a symbolic link that allows for the device 　　// object's access from Win32 programs 　　// 　　if(NT_SUCCESS(ntStatus)) { 　　　　// 　　　　// Mark this as our GUI device 　　　　// 　　　　((PHOOK_EXTENSION) guiDevice->DeviceExtension)->Type = GUIINTERFACE; 　　　　// 　　　　// Create a symbolic link that the GUI can specify to gain access 　　　　// to this driver/device 　　　　// 　　　　RtlInitUnicodeString (&deviceLinkUnicodeString, 　　　　　　　　　　　　　　　deviceLinkBuffer ); 　　　　ntStatus = IoCreateSymbolicLink (&deviceLinkUnicodeString, 　　　　　　　　　　　　　　　　　　　　 &deviceNameUnicodeString ); 　　　　if(!NT_SUCCESS(ntStatus)) { 　　　　　　DbgPrint (("Filemon.SYS: IoCreateSymbolicLink failed ")); 　　　　　　IoDeleteDevice( guiDevice ); 　　　　　　return ntStatus;　　　　　　　　　　}上面代码完成的功能为创建了用于与应用层交互的控制设备对象，名字在参数&deviceNameUnicodeString,中。设备对象创建成功后又调用IoCreateSymbolicLink创建了一个符号连接，以便于应用层交互。在入口点函数DriverEntry代码中，还有一处代码： ProcessNameOffset = FilemonGetProcessNameOffset();//为了得到当前进程名字。此函数体如下：ULONG FilemonGetProcessNameOffset( 　　VOID 　　) { 　　PEPROCESS　　　 curproc; 　　int　　　　　　 i; 　　curproc = PsGetCurrentProcess();//调用PsGetCurrentProcess取得KPEB基址　　//然后搜索KPEB，得到ProcessName相对KPEB的偏移量　　// Scan for 12KB, hoping the KPEB never grows that big! 　　// 　　for( i = 0; i < 3*PAGE_SIZE; i++ ) { 　　　　　　if( !strncmp( SYSNAME, (PCHAR) curproc + i, strlen(SYSNAME) )) { 　　　　　　return i; 　　　　} 　　} 　　// 　　// Name not found - oh, well 　　// 　　return 0;

来源：VC知识库作者：郝朝责编：豆豆技术应用

点击发表评论

正在加载评论...

最新VC/VC++专题

精华文章推荐