回答情况:
提问时间:
问题标签:
第一个问题是:我可以在MiniFilter驱动程序中使用这个例程吗?例如,我在DriverEntry中创建DriverEntry,在CallbackFunction中创建下一个操作。当新进程创建时,它将处于等待模式,并在minifilter接收用户模式回复消息后执行。它能对任何情况产生问题吗?如果是,我可以使用任何同步内核对象(保护、互斥、自旋等等)。
浏览 4修改于2019-12-09得票数 1
} return wc;wchar_t* pathwchart = GetWC((char*)ntpath);
但是现在我使用Minifilter,当我在Minifilter的CallBacks中使用ExAllocatePool时,它会在蓝屏上返回一个SYSTEM_SERVICE_EXCEPTION 0X3B错误,那么我如何在Minifilter
浏览 53提问于2021-03-07得票数 0
我正在开发一个miniFilter驱动程序,并以微软的SwapBuffers miniFilter为例。默认情况下,InstaceSetup路由将附加到所有卷。在MiniSpy miniFilter中有一个用户应用程序,并使用例程FilterAttach。在我的应用程序中,我试图以同样的方式调用这个例程--没有结果。swapBuffers inf文件:
浏览 3修改于2011-05-08得票数 2
现在,我在内核模式下使用minifilter。我想运行一个应用程序(系统应用程序,如:notepad.exe、mspaint.exe或由用户创建的应用程序,如:C#应用程序.)。谢谢大家我创建了一个windows服务(C#)来在它们之间进行通信(Minifilter (C)和Application (C#, C/C++))
检查条件后,Minifilter向服
浏览 9修改于2015-01-09得票数 0
DesiredAccess & PAGE_EXECUTE) == PAGE_EXECUTE) { DbgPrint("[ miniFilterDesiredAccess & FILE_EXECUTE) == FILE_EXECUTE) { DbgPrint("[ miniFilter
浏览 13修改于2020-02-04得票数 1
我是minifilter开发方面的新手,我想知道是否可以从instance_setup函数中的xml/txt文件中读取一些信息。其想法是在启动时将信息从配置文件传递给minifilter。
浏览 7提问于2022-09-20得票数 0
回答已采纳
通过安装MiniFilter驱动程序,我成功地拦截了文件访问,这要归功于。
但是,我没有找到任何关于如何使用Minifilter拦截流程创建/终止的文档。
浏览 5提问于2019-10-16得票数 2
回答已采纳
install sectionsOptionDesc = %ServiceDescription%AddService = %ServiceName%,,MiniFilter.Service
[DefaultUninstall]
DelFiles = MiniFilter</e
浏览 7修改于2014-11-14得票数 3
回答已采纳
正如标题所说,这是怎么可能的?基本上,我想拦截来自NetShareEnum函数的调用,就像通过IRP_MJ_DIRECTORY_CONTROL pre/post例程拦截对ReadDirectoryChangesW的调用一样。文件系统微筛选器是否足以完成任务?是否有一个主要/次要函数来注册pre/post回调?
浏览 56修改于2020-04-11得票数 1
我计划让一个MiniFilter做一些文件加密,在文件上添加一些元数据。
我想我明白我需要做些什么,在我的MiniFilter中,使文件以加密的形式存储,但系统可以毫无问题地读取。
浏览 4提问于2018-01-03得票数 0
回答已采纳
我试图拦截来自Minifilter的特定应用程序对FindFirstFile/ZwQueryDirectoryFile的调用。目标是让应用程序看到一个不存在的文件夹。
浏览 2提问于2020-04-13得票数 2
我正在编写一个小过滤器来阻止应用程序的执行。微过滤器将在IRP_MJ_CREATE上请求对用户模式应用程序的文件扫描。用户模式应用程序将扫描是否允许执行PE文件(.exe/.dll/etc)。发出拒绝访问返回值时的问题是,从用户的角度来看,他们将从系统获得如下消息框:
另一个例子是,当阻止加载特定的dll时,会出现另一个消息框:我想要完成的是仍然拒绝打开,但抑制消息框,并有一个我自己的通知,这是一个用户友好的错误消息,表明应用程序被阻止。示例类似于W
浏览 11修改于2015-05-19得票数 1
我只需要检测用户启动的i/o活动。当我说用户时,我实际上是指用户(双击打开文件、输入等)。因此,我需要知道如何只打印由用户自己完成的事务。(打开文件,双击,输入等.(如上文所述)谢谢!
浏览 3提问于2016-12-24得票数 0
回答已采纳
FileRenameInformation:
//https://stackoverflow.com/questions/40564824/how-to-cancel-a-rename-operation-in-minifilter-driver
浏览 31提问于2019-08-15得票数 0
我正在尝试使用微过滤器阻止对文件(C:\pass\secret.txt)的访问。命令提示符与powershell、explorer或我尝试过的任何其他程序有什么不同?FltPreOperationCallback函数:
FLT_PREOP_CALLBACK_STATUS PtPreOperationPassThrough(_Inout_ PFLT_CALLBACK_DATA Data, _In_
浏览 7修改于2018-07-11得票数 3
我正在开发一种微型机。我检查硬盘(即D:)上的新文件创建(通过拖放)。我的工作如下:if (Data && (Data->Iopb->MajorFunction == IRP_MJ_CREATE)) // Get create disposition
浏览 2修改于2015-02-05得票数 0
我正在做恶意软件分析。我使用微型筛选器驱动程序来拦截文件系统访问。然后,我应用算法来检测恶意活动。我的问题:它知道驱动程序需要微软的签名才能公开发布。https://docs.microsoft.com/fr-fr/windows-hardware/drivers/dashboard/attestation-signing-a-kernel-driver-for-public-release 它是否被授权在内核空间中作为AI实现算法,或者我必须在用户空间中实现它们?关于Microsoft、正确的体系结构和安全性,有什么建议?
浏览 96修改于2020-06-30得票数 0
我将从我的最终目标开始。我希望每个文档(doc、docx、pdf、txt等)在我的系统上将有一个固定的(和用户的)头。例如,字符串"abcde“将被放在每个文档的前面。IRP_MJ_WRITE -如果头部存在,则将偏移量更改为文件的开始位置。IRP_MJ_QUERY_INFORMATION -如果头部存在,则更改返回的文件大小。IRP_MJ_CREATE -如果标题
浏览 10修改于2012-10-05得票数 4
回答已采纳
我在内核模式下编写了一个小型机。我想防止在USB上创建一个新文件。但当我用: FltCancelFileOpen( FltObjects->Instance, FltObjects->FileObject ); Data->IoStatus.Information = 0;[CODE]
=> I可以防止创建新文件。但它总是显示警告对话框。我该怎么做才能不显示这个对话框呢?
浏览 2修改于2014-12-29得票数 0
回答已采纳
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号