Фильтр Драйвер для файловой системы

[HighLander]

Всем привет!

Наверное мой вопрос немного странный, но мне очень нужна помощ...

Я хочу написать драйвер который будет следить за всеми I/O на жестком диске, и потом может даже при входе на

сетевые ресурсы (\\Server\Share). (Как FileMon). Основная проблема в том что я нашел очень мало матерьяла про это.

Я начал читать несколько книг, но у меня много вопросов на которые я не нахожу ответов.

Я написал простой драйвер, но он не работает так как я хотел.

Может кто-то может мне помоч? Я был бы очень благодарен...



Женя.

[Ochkarik]

отлично... только где же сами вопросы на которые вы не нашли ответа?)

[HighLander]

Я написал вот такой драйвер:

#include <ntddk.h>

typedef unsigned int UINT;
typedef char * PCHAR;

typedef struct _MY_FILTER_EXTENSION
{
    PDEVICE_OBJECT pNextDeviceInChain;

} MY_FILTER_EXTENSION, *PMY_FILTER_EXTENSION;

VOID MyUnload(PDRIVER_OBJECT  DriverObject);
NTSTATUS DriverEntry(PDRIVER_OBJECT  pDriverObject, PUNICODE_STRING  pRegistryPath);
NTSTATUS MyCreate(PDEVICE_OBJECT DeviceObject, PIRP Irp);
NTSTATUS MyClose(PDEVICE_OBJECT DeviceObject, PIRP Irp);
NTSTATUS MyIoControl(PDEVICE_OBJECT DeviceObject, PIRP Irp);
NTSTATUS MyWrite(PDEVICE_OBJECT DeviceObject, PIRP Irp);
NTSTATUS MyRead(PDEVICE_OBJECT DeviceObject, PIRP Irp);
NTSTATUS MyUnSupportedFunction(PDEVICE_OBJECT DeviceObject, PIRP Irp);
NTSTATUS MyIoControlInternal(PDEVICE_OBJECT DeviceObject, PIRP Irp);
NTSTATUS MyFixNullString(PCHAR pString, UINT uiSize);
NTSTATUS MyFastIoWrite(PDEVICE_OBJECT DeviceObject, PIRP Irp);

NTSTATUS MyCreate(PDEVICE_OBJECT DeviceObject, PIRP Irp)
{
    NTSTATUS NtStatus = STATUS_SUCCESS;
    PMY_FILTER_EXTENSION pMyFilterDeviceContext = (PMY_FILTER_EXTENSION)DeviceObject->DeviceExtension;
    PIO_STACK_LOCATION pIoStackIrp = NULL;

    DbgPrint("MyCreate Called \r\n");

    IoSkipCurrentIrpStackLocation(Irp);

    NtStatus = IoCallDriver(pMyFilterDeviceContext->pNextDeviceInChain, Irp);

    DbgPrint("MyCreate Exit 0x%0x \r\n", NtStatus);
   
   return NtStatus;
}

NTSTATUS MyClose(PDEVICE_OBJECT DeviceObject, PIRP Irp)
{
    NTSTATUS NtStatus = STATUS_SUCCESS;
    PMY_FILTER_EXTENSION pMyFilterDeviceContext = (PMY_FILTER_EXTENSION)DeviceObject->DeviceExtension;
    PIO_STACK_LOCATION pIoStackIrp = NULL;

    DbgPrint("MyClose Called \r\n");

    IoSkipCurrentIrpStackLocation(Irp);

    NtStatus = IoCallDriver(pMyFilterDeviceContext->pNextDeviceInChain, Irp);

    DbgPrint("MyClose Exit 0x%0x \r\n", NtStatus);
   
   return NtStatus;
}

NTSTATUS MyIoControlInternal(PDEVICE_OBJECT DeviceObject, PIRP Irp)
{
    NTSTATUS NtStatus = STATUS_SUCCESS;
    PMY_FILTER_EXTENSION pMyFilterDeviceContext = (PMY_FILTER_EXTENSION)DeviceObject->DeviceExtension;
    PIO_STACK_LOCATION pIoStackIrp = NULL;

    DbgPrint("MyIoControlInternal Called \r\n");

    IoSkipCurrentIrpStackLocation(Irp);

    NtStatus = IoCallDriver(pMyFilterDeviceContext->pNextDeviceInChain, Irp);

    DbgPrint("MyIoControlInternal Exit 0x%0x \r\n", NtStatus);
   
   return NtStatus;
}

NTSTATUS MyIoControl(PDEVICE_OBJECT DeviceObject, PIRP Irp)
{
    NTSTATUS NtStatus = STATUS_SUCCESS;
    PMY_FILTER_EXTENSION pMyFilterDeviceContext = (PMY_FILTER_EXTENSION)DeviceObject->DeviceExtension;
    PIO_STACK_LOCATION pIoStackIrp = NULL;

    DbgPrint("MyIoControl Called \r\n");

    IoSkipCurrentIrpStackLocation(Irp);

    NtStatus = IoCallDriver(pMyFilterDeviceContext->pNextDeviceInChain, Irp);

    DbgPrint("MyIoControl Exit 0x%0x \r\n", NtStatus);
   
   return NtStatus;
}

NTSTATUS MyWrite(PDEVICE_OBJECT DeviceObject, PIRP Irp)
{
    NTSTATUS NtStatus = STATUS_SUCCESS;
    PMY_FILTER_EXTENSION pMyFilterDeviceContext = (PMY_FILTER_EXTENSION)DeviceObject->DeviceExtension;
    PIO_STACK_LOCATION pIoStackIrp = NULL;

    DbgPrint("MyWrite Called \r\n");

    IoSkipCurrentIrpStackLocation(Irp);

    NtStatus = IoCallDriver(pMyFilterDeviceContext->pNextDeviceInChain, Irp);

    DbgPrint("MyWrite Exit 0x%0x \r\n", NtStatus);
   
   return NtStatus;
}

NTSTATUS MyRead(PDEVICE_OBJECT DeviceObject, PIRP Irp)
{
    NTSTATUS NtStatus = STATUS_BUFFER_TOO_SMALL;
    PMY_FILTER_EXTENSION pMyFilterDeviceContext = (PMY_FILTER_EXTENSION)DeviceObject->DeviceExtension;
    PIO_STACK_LOCATION pIoStackIrp = NULL;
    PCHAR pReadDataBuffer;

    DbgPrint("MyRead Called \r\n");

    pIoStackIrp = IoGetCurrentIrpStackLocation(Irp);

    IoCopyCurrentIrpStackLocationToNext(Irp);
    IoSetCompletionRoutine(Irp, (PIO_COMPLETION_ROUTINE) MyCompletionRoutine, NULL, TRUE, TRUE, TRUE);

    NtStatus = IoCallDriver(pMyFilterDeviceContext->pNextDeviceInChain, Irp);

    if(NT_SUCCESS(NtStatus))
    {
        if(Irp->IoStatus.Information)
        {
            if(DeviceObject->Flags & DO_BUFFERED_IO)
            {

                    DbgPrint("MyRead - Use Buffered I/O \r\n");

                    pReadDataBuffer = (PCHAR)Irp->AssociatedIrp.SystemBuffer;
               
                    if(pReadDataBuffer && pIoStackIrp->Parameters.Read.Length > 0)
                    {                             
                        MyFixNullString(pReadDataBuffer, (UINT)Irp->IoStatus.Information);
                    }
            }
            else
            {
                if(DeviceObject->Flags & DO_DIRECT_IO)
                {
                    DbgPrint("MyRead - Use Direct I/O \r\n");

                    if(pIoStackIrp && Irp->MdlAddress)
                    {
                        pReadDataBuffer = MmGetSystemAddressForMdlSafe(Irp->MdlAddress, NormalPagePriority);
                   
                        if(pReadDataBuffer && pIoStackIrp->Parameters.Read.Length)
                        {                             
                            MyFixNullString(pReadDataBuffer, (UINT)Irp->IoStatus.Information);
                        }
                    }
                }
                else
                {

                    DbgPrint("MyRead - Use Neither I/O \r\n");

                    __try {
       
                            if(pIoStackIrp->Parameters.Read.Length > 0 && Irp->UserBuffer)
                            {
                   
                                ProbeForWrite(Irp->UserBuffer, pIoStackIrp->Parameters.Read.Length, TYPE_ALIGNMENT(char));
                                pReadDataBuffer = Irp->UserBuffer;
                   
                                MyFixNullString(pReadDataBuffer, (UINT)Irp->IoStatus.Information);
                            }
                   
                        } __except( EXCEPTION_EXECUTE_HANDLER ) {
                   
                              NtStatus = GetExceptionCode();     
                        }
                }
            }

        }
    }

    Irp->IoStatus.Status = NtStatus;
    IoCompleteRequest(Irp, IO_NO_INCREMENT);

    DbgPrint("MyRead Exit 0x%0x \r\n", NtStatus);

    return NtStatus;
}

NTSTATUS MyUnSupportedFunction(PDEVICE_OBJECT DeviceObject, PIRP Irp)
{
    NTSTATUS NtStatus = STATUS_SUCCESS;
    PMY_FILTER_EXTENSION pMyFilterDeviceContext = (PMY_FILTER_EXTENSION)DeviceObject->DeviceExtension;
    PIO_STACK_LOCATION pIoStackIrp = NULL;

    DbgPrint("MyUnSupportedFunction Called \r\n");

    IoSkipCurrentIrpStackLocation(Irp);

    NtStatus = IoCallDriver(pMyFilterDeviceContext->pNextDeviceInChain, Irp);

    DbgPrint("MyUnSupportedFunction Exit 0x%0x \r\n", NtStatus);
   
   return NtStatus;
}

NTSTATUS MyFixNullString(PCHAR pString, UINT uiSize)
{
   NTSTATUS NtStatus = STATUS_SUCCESS;
   UINT uiIndex = 0;

   while(uiIndex < (uiSize - 1))
   {
       if(pString[uiIndex] == 0)
       {
           pString[uiIndex] = ' ';
       }

       uiIndex++;
   }

   pString[uiIndex] = 0;

   return NtStatus;
}

NTSTATUS DriverEntry(PDRIVER_OBJECT  pDriverObject, PUNICODE_STRING  pRegistryPath)
{
    NTSTATUS NtStatus = STATUS_SUCCESS;
    UINT uiIndex = 0;
    PDEVICE_OBJECT pDeviceObject = NULL, pFilteredDevice = NULL;
    UNICODE_STRING usDeviceToFilter;
    PMY_FILTER_EXTENSION pMyFilterDeviceContext;

    DbgPrint("DriverEntry Called \r\n");

    NtStatus = IoCreateDevice(pDriverObject, sizeof(MY_FILTER_EXTENSION), NULL, FILE_DEVICE_UNKNOWN, FILE_DEVICE_SECURE_OPEN, FALSE, &pDeviceObject);

    if(NtStatus == STATUS_SUCCESS)
    {
      DbgPrint("Device Created \r\n");

        for(uiIndex = 0; uiIndex < IRP_MJ_MAXIMUM_FUNCTION; uiIndex++)
             pDriverObject->MajorFunction[uiIndex] = MyUnSupportedFunction;
   
        pDriverObject->MajorFunction[IRP_MJ_CLOSE]             = MyClose;
        pDriverObject->MajorFunction[IRP_MJ_CREATE]            = MyCreate;
        pDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL]    = MyIoControl;
        pDriverObject->MajorFunction[IRP_MJ_INTERNAL_DEVICE_CONTROL] = MyIoControlInternal;
        pDriverObject->MajorFunction[IRP_MJ_READ]              = MyRead;
        pDriverObject->MajorFunction[IRP_MJ_WRITE]             = MyWrite;

      DbgPrint("MajorFunctions Added 0x%0x \r\n", NtStatus);
   
        pDriverObject->DriverUnload =  MyUnload;

        pMyFilterDeviceContext = (PMY_FILTER_EXTENSION)pDeviceObject->DeviceExtension;

      RtlInitUnicodeString(&usDeviceToFilter, L"\\??\\C:");
        NtStatus = IoAttachDevice(pDeviceObject, &usDeviceToFilter, &pMyFilterDeviceContext->pNextDeviceInChain);

      if(NtStatus == STATUS_SUCCESS)
      {
         DbgPrint("Attached To Device \r\n");
      }

        if(!NT_SUCCESS(NtStatus))
        {
           IoDeleteDevice(pDeviceObject);
        }
        else
        {
            pFilteredDevice = pMyFilterDeviceContext->pNextDeviceInChain;

            pDeviceObject->Flags |= pFilteredDevice->Flags & (DO_BUFFERED_IO | DO_DIRECT_IO);
            pDeviceObject->DeviceType = pFilteredDevice->DeviceType;
            pDeviceObject->Characteristics = pFilteredDevice->Characteristics;
            pDeviceObject->Flags &= ~DO_DEVICE_INITIALIZING;
        }
    }

   DbgPrint("DriverEntry Finished 0x%0x \r\n", NtStatus);
                               
    return NtStatus;
}

VOID MyUnload(PDRIVER_OBJECT DriverObject)
{
    PMY_FILTER_EXTENSION pMyFilterDeviceContext = (PMY_FILTER_EXTENSION)DriverObject->DeviceObject->DeviceExtension;
    DbgPrint("MyUnload Called \r\n");
    IoDetachDevice(pMyFilterDeviceContext->pNextDeviceInChain);
    IoDeleteDevice(DriverObject->DeviceObject);
}

Я написал его не сам, а нашел в интернете и изменил несколько вещей.

Я понимаю почти все в нем, но есть вещи которые я не понимаю. Может потаму он и не работает как надо.

1. Что делает эта часть кода:

pFilteredDevice = pMyFilterDeviceContext->pNextDeviceInChain;

pDeviceObject->Flags |= pFilteredDevice->Flags & (DO_BUFFERED_IO | DO_DIRECT_IO);
pDeviceObject->DeviceType = pFilteredDevice->DeviceType;
pDeviceObject->Characteristics = pFilteredDevice->Characteristics;
pDeviceObject->Flags &= ~DO_DEVICE_INITIALIZING;

Что это за флаги? Что такое Characteristics? И зачем мы создаем pFilteredDevice?

2. Что такое Device Extension?

3. В драйвере я подключаюсь к диску С, но даже если я делаю что-то на диске Е драйвер все равно

реагирует.

4. Если я открываю файл то при первом открытии драйвер заходит в MyCreate, MyCleanup, i MyClose,

а потом не реагирует. Внутри MyClose функция IoCallDriver возвращает ошибку 0xc0000010.

Что это может быть?



Зарание благодарю за помощ!

[Ochkarik]

1. pFilteredDevice -указатель на нижележащий драйвер к которому вы подключились.
   далее копируются свойства:
   первое копирование выставления параметров IOCTL запросов (влияют на то в каком виде к вам придут запросы IOCTL)
   далее тип и хараткеристики - посмотрите в ДДК описание полей структуры DEVICE_OBJECT
DO_DEVICE_INITIALIZING - флаг что устройство находится в стадии инициализации(чтобы к нему никто не обращался раньше времени. перед выходом из DriverEntry обычно его снимают. как и сделано.
   pFilteredDevice(он же pMyFilterDeviceContext->pNextDeviceInChain) - создаем не мы, мы получаем на него ссылку чтоб к нему приатачится - строка:
IoAttachDevice(pDeviceObject, &usDeviceToFilter, &pMyFilterDeviceContext->pNextDeviceInChain);

DeviceExtension - структура котокая содержит все настройки данного объекта (драйвер может быть один а устройств много, поэтому под каждое устройство создается свой DeviceExtension. это вкратце. опять же см DDK.

3. не знаю, надо подумать...

4. MyCleanup - кода не нашел. вместо него будет заходить в MyUnSupportedFunction.
MyCompletionRoutine ссылка в MyRead - кода нет, откуда, где?

..........
подождите.............. а где вообще AddDevice?
не, помоему вы не разобрались до конца)
не берите пример из интернета. возмите пример из DDK. там их слава богу хватает...
например \DDK3790.1830\src\storage\filters\
он конечно посложнее, разбираться дольше, но зато он целиком правильный) думаю он вам подойдет.
главное для начала основные части понять: DriverEntry|AddDevice|PNPDispatch. IO-Create|Close|Read|Write, IOCTL- интерфейсные
не поленитесь посмотрите требования к ним в DDK/

по началу лучше делать свои ошибки а не исправлять чужие. а это... не будет оно работать в таком виде)

[HighLander]

Большое спасибо за ответы!

Я наверное еще почитаю книги про драйверы...