文件系统筛选器驱动程序-拒绝文件创建
[英]File System Filter Driver - Deny file creation
问题描述
我创建了一个文件系统过滤器驱动程序。
我的驱动程序过滤IRP_MJ_CREATE并打印文件名。
NTSTATUS DispatchCreate(__in PDEVICE_OBJECT DeviceObject, __in PIRP Irp)
{
PFILE_OBJECT FileObject = IoGetCurrentIrpStackLocation(Irp)->FileObject;
DbgPrint("DispatchCreate() : %wZ\n", &FileObject->FileName;)
return DispatchPassThrough(DeviceObject, Irp);
}
这很好。
现在,我想在创建新文件的每个请求中都拒绝访问。
(如果可能,“您没有许可。”)
所以我尝试了几件事。
首先,我做了以下工作。
NTSTATUS DispatchCreate(__in PDEVICE_OBJECT DeviceObject, __in PIRP Irp)
{
PFILE_OBJECT FileObject = IoGetCurrentIrpStackLocation(Irp)->FileObject;
PIO_STACK_LOCATION Stack = IoGetCurrentIrpStackLocation(Irp);
ULONG Option = Stack->Parameters.Create.Options;
if ((Option >> 24) == FILE_CREATE)
{
DbgPrint("DispatchCreate() : File Create Denied, %wZ, %x \n", &FileObject->FileName, Option);
return STATUS_ACCESS_VIOLATION; // or any error code
}
return DispatchPassThrough(DeviceObject, Irp);
}
效果不错,但效果有些奇怪。
例如,如果您没有管理员权限,则尝试在“ C:\\”中创建内容时会有一点发言权。
目前,我不知道FileObject是否可以正常删除。
因此,我进行了以下更改。
NTSTATUS DispatchCreate(__in PDEVICE_OBJECT DeviceObject, __in PIRP Irp)
{
PFILE_OBJECT FileObject = IoGetCurrentIrpStackLocation(Irp)->FileObject;
PIO_STACK_LOCATION Stack = IoGetCurrentIrpStackLocation(Irp);
ULONG Option = Stack->Parameters.Create.Options;
if ((Option >> 24) == FILE_CREATE)
{
DbgPrint("DispatchCreate() : File Create Denied, %wZ, %x \n", &FileObject->FileName, Option);
Irp->IoStatus.Status = STATUS_ACCESS_VIOLATION;
return Irp->IoStatus.Status;
}
return DispatchPassThrough(DeviceObject, Irp);
}
但是,会出现稍微不同的错误消息。
我希望它的行为与发生“访问被拒绝”时的行为完全相同,因为我没有普通的特权。
还有另一个问题。
与其他Dispatch例程不同, IRP_MJ_CREATE和IRP_MJ_CLOSE不需要IoCompleteRequest() 。
我确认即使只有以下部分,手柄也能正常退回。 (在用户模式下。)
return STATUS_SUCCESS;
感谢您的阅读。
请回答我的问题。
1 个解决方案
解决方案1
3 已采纳 2017-03-23 14:13:37
如果您需要拒绝过滤器中的某些请求-不需要将其传递到连接的设备-您需要自己设置错误状态并完成IRP
Irp->IoStatus.Status = STATUS_ACCESS_DENIED;
IofCompleteRequest(Irp);// !!!
return STATUS_ACCESS_DENIED; // ! not Irp->IoStatus.Status - you can not access Irp after call IofCompleteRequest
与其他Dispatch例程不同,IRP_MJ_CREATE和IRP_MJ_CLOSE不需要IoCompleteRequest()。
当然,这绝对是错误的。 每个Irp必须通过调用IofCompleteRequest完成
如何在Windows的旧版筛选器驱动程序中阻止文件和文件夹创建
[英]How to block file and folder creation in Legacy filter driver for windows
如何使用过滤器驱动程序(内核)捕获文件访问尝试并提供允许/拒绝(用户)的对话框?
[英]How to trap file access attempts with a filter driver (kernel) and offer dialog to allow/deny (user)?
已注册并启动了两个文件系统微型筛选器驱动程序,但只有第一个驱动程序可以正常工作,而第二个驱动程序则无法工作。
[英]Two file system mini filter driver registered and started but only first driver works fine and second driver doesn't work.
错误:无法打开源文件“ ntifs.h”(创建简单的文件系统过滤器驱动程序)
[英]error : can not open source file “ntifs.h” (creating a simple file system filter driver)
有没有办法将整个文件从文件系统迷你过滤器驱动程序(内核模式)传递到用户模式应用程序?
[英]Is there a way to pass an entire file from file system mini filter driver (kernel mode) up to a user mode application?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
Windows文件系统过滤驱动程序
特定文件类型的文件系统过滤器驱动程序
如何在Windows的旧版筛选器驱动程序中阻止文件和文件夹创建
如何使用过滤器驱动程序(内核)捕获文件访问尝试并提供允许/拒绝(用户)的对话框?
映射的网络驱动器上的Windows文件系统筛选器驱动程序
创建文件系统“驱动程序”
已注册并启动了两个文件系统微型筛选器驱动程序,但只有第一个驱动程序可以正常工作,而第二个驱动程序则无法工作。
错误:无法打开源文件“ ntifs.h”(创建简单的文件系统过滤器驱动程序)
有没有办法将整个文件从文件系统迷你过滤器驱动程序(内核模式)传递到用户模式应用程序?
如何部署文件系统驱动程序?
相关标签