|
Роман
Гость
|
 |
« : 06-08-2003 18:23 » |
|
история: Привет, я начал последние дни интенсивно изучать драйвера и масса вопросов без ответов. например, я откомпилировал C:\NTDDK\src\storage\filters\diskperf и добавил его через C:\NTDDK\src\storage\filters\addfilter перегрузил XP, результат синий экран и нечитаемый текст. и так с другим драйвером что я пробовал. работает только filemonitor от http://www.sysinternals.comно я хотел бы понять почему стандартные примеры из ddk вешают машину. а так же я хочу понять можно ли отфильтровывать файлы и папки так чтобы их в системе не видно было... вопрос: можно ли модернизировать sys драйвер от http://www.sysinternals.comfilemon таким образом чтобы он фильтровал файловую систему для всей Винды. Т.е. чтобы я мог скрывать нужные мне папки и их не было видно не из Explorer не из FAR и излюбой другой проги тоже. загрузить исходники можно с http://test4.la4.net/filemon.zip (370кб) на самом http://www.sysinternals.com я их уже не нашел... токо откомпилированное. Может кто то уже сталкивался с проблемой как прятать(отфильтровывать) папки и файлы? заранее благодарен, Роман. |
|
|
|
|
Записан
|
|
|
|
Артем
Опытный
 Offline
Пол: 
Beware the wolf in sheep's clothing.
|
|
« Ответ #1 : 14-08-2003 08:27 » |
|
Я очень мало общался с драйверами фс, поэтому могу дать рекомендации только общего плана (если в чем-то ошибусь :oops: , просьба поправить). Итак, для того, что бы скрыть папки/файлы надо: --узнать какие драйвера в системе отвечают за работу с файлами. --в ДДК посмотреть их исходники, и в них найти IRP-запросы, которые тебе надо фильтровать (это могут быть не только запросы типа IPR_MJ_..., но и любые другие). --понять как построен стек этих драйверов; --написать свой драйвер-фильтр и поставить его на вершину стека. Вроде так  P.S. Конечно же из драйвера можно лазить в реестр и творить тама чего-нибудь не хорошее 8) |
|
|
|
|
Записан
|
|
|
|
SlavaI
Главный специалист
Offline
|
|
« Ответ #2 : 14-08-2003 09:46 » |
|
узнать какие драйвера в системе отвечают за работу с файлами
Драйверы файловых систем- ntfs.sys, fastfat.sys, cdfs.sys
в ДДК посмотреть их исходники, и в них найти IRP-запросы, которые тебе надо фильтровать (это могут быть не только запросы типа IPR_MJ_..., но и любые другие).
в DDK исходников файловых систем нет, они в IFSDK. Там есть fastfat и cdfs. А также примеры фильтров файловой системы. Выбранный пример фильтра diskperf неудачен- это не фильтр файловой системы.
понять как построен стек этих драйверов
Стек очень простой, собственно у файловой системы его нет, указатель на драйвер файловой системы хранится в VPB. |
|
|
|
|
Записан
|
|
|
|
SlavaI
Главный специалист
Offline
|
|
« Ответ #3 : 14-08-2003 09:55 » |
|
Может кто то уже сталкивался с проблемой как прятать(отфильтровывать) папки и файлы?
Надо фильтровать запросы к файловой системе(IRP_MJ_FILE_SYSTEM_CONTROL, IRP_MJ_DIRECTORY_CONTROL,IRP_MJ_CREATE, IRP_MJ_QUERY_INFORMATION и еще какие-то) и иногда изменять возвращаемые данные- убирать инфу о скрытых папках. |
|
|
|
|
Записан
|
|
|
|
|
Роман
Гость
|
|
« Ответ #4 : 24-08-2003 23:28 » |
|
Спасибо за советы! еще олин вопрос, где взять IFSDK??? на сайте микросовта оно стоит 1000 у.е.  (( есть ли возможность получить пиратский CD или скачать из сети??? |
|
|
|
|
Записан
|
|
|
|
Гром
Птычк. Тьфу, птычник... Вот!
Готовлюсь к пенсии
Offline
Пол:
Бодрый птах
|
|
« Ответ #5 : 24-08-2003 23:49 » |
|
Кгхм кгхм, кто ж тебе скажет то  Пиратские диски - это смотря в каком городе, а скачать - это nnm.ru такой фигней занимается |
|
|
|
|
Записан
|
А птичку нашу прошу не обижать!!!
|
|
|
|
Роман
Гость
|
|
« Ответ #6 : 25-08-2003 09:47 » |
|
ладно обойдемся без IFSDK... вернемся к коду http://test4.la4.net/filemon.zip. это и есть полноценный фильтр файловой системы... код исходников более 170 кб, поэтому тут его разместить не могу... вы писали:" Надо фильтровать запросы к файловой системе(IRP_MJ_FILE_SYSTEM_CONTROL, IRP_MJ_DIRECTORY_CONTROL,IRP_MJ_CREATE, IRP_MJ_QUERY_INFORMATION и еще какие-то) и иногда изменять возвращаемые данные- убирать инфу о скрытых папках." там есть перехват этих вещей, при этом происходит запись в лог файл и все... как это изменить так чтобы отфильтровывать эти обращения если вызывается моя папка я понять не могу... потому что не видел не одного примера подобных фильтров... подскажите как это сдеалть! если произошел вызов IRP_MJ_DIRECTORY_CONTROL, так чтобы он дальше моего драйвера не ушел если идет вызов к моей папке... в идеале было бы не плохо чтобы ЭКСПЕРТ взглянул на приложеный код http://test4.la4.net/filemon.zip и дал совет по конкретно этому коду... спасибо |
|
|
|
|
Записан
|
|
|
|
Гром
Птычк. Тьфу, птычник... Вот!
Готовлюсь к пенсии
Offline
Пол:
Бодрый птах
|
|
« Ответ #7 : 25-08-2003 10:04 » |
|
Хорошо посмотрим что у тебя там....
|
|
|
|
|
Записан
|
А птичку нашу прошу не обижать!!!
|
|
|
|
Juggernaut
Гость
|
|
« Ответ #8 : 25-08-2003 11:00 » |
|
На совке(в Москве) продавался диск с названием "Все для разработчика MicroSoft" на нем были DDK SDK и все такое. Вероятно это то что нужно.
IFSDK???
По моему был...
|
|
|
|
|
Записан
|
|
|
|
SlavaI
Главный специалист
Offline
|
|
« Ответ #9 : 25-08-2003 11:10 » |
|
ладно обойдемся без IFSDK
Не обойдешься. Продается диск в Москве с IFSDK для XP. На диске негритянка с ноутбуком- по моему такая обложка у него. |
|
|
|
|
Записан
|
|
|
|
|
Роман
Гость
|
|
« Ответ #10 : 25-08-2003 13:14 » |
|
Думаю придется обойтись без IFSDK, потому что я не из Москвы разве что найдется добрая душа и перешлет мне его наложенным платежом или поездом я готов заплатить тройную стоимость диска + пересылка! а вообще раз www.sysinternals.com обходятся без IFSDK то я думаю и мы можем я имею ввиду всех кто учавствует в данной теме обещаю всем потом пива почтой:) ящик |
|
|
|
|
Записан
|
|
|
|
Гром
Птычк. Тьфу, птычник... Вот!
Готовлюсь к пенсии
Offline
Пол:
Бодрый птах
|
|
« Ответ #11 : 25-08-2003 13:47 » |
|
За пиво буду пробовать  шучу... Я тут пытаюсь счас настроить если получится тестовый полигон, и буду смотреть - просто очень много времени уходит в организацию пока, на кажый тест готовишь сначала площадку. Да и Славик от помощи не отказывался еще никогда. |
|
|
|
|
Записан
|
А птичку нашу прошу не обижать!!!
|
|
|
|
dumb
Гость
|
|
« Ответ #12 : 26-08-2003 03:54 » |
|
очень много времени уходит в организацию пока, на кажый тест готовишь сначала площадку.
очень хорошо работает VmWare с диском в режиме Undoable |
|
|
|
|
Записан
|
|
|
|
|
Yess
Гость
|
|
« Ответ #13 : 26-08-2003 06:19 » |
|
to dumb: Макс, привет:)
|
|
|
|
|
Записан
|
|
|
|
Гром
Птычк. Тьфу, птычник... Вот!
Готовлюсь к пенсии
Offline
Пол:
Бодрый птах
|
|
« Ответ #14 : 26-08-2003 09:38 » |
|
очень хорошо работает VmWare с диском в режиме Undoable
Это ты о чем, я ж тестовый полигон имел ввиду рубрику онлайн тестов. Пишу php MySQL.
to dumb: Макс, привет:)
Вы что - знакомы??? |
|
|
|
|
Записан
|
А птичку нашу прошу не обижать!!!
|
|
|
SlavaI
Главный специалист
Offline
|
|
« Ответ #15 : 26-08-2003 13:39 » |
|
Вот что- Если у тебя есть время, то тебе необходимо почитать книгу
Rajeev Nagar "Windows NT File Systerm Internals. The Developers Guide".
Книжка написана для WinNT 3.5/4.0, но с тех времен ничего не изменилось.
Книженцию в формате pdf я могу выслать на mail, размер 12 Мб, или по отдельности по главам- размер от 100Кб до 1600Кб.
Надо бы Grom'у выслать, Grom напиши мне куда слать, я по главам вышлю.
|
|
|
|
|
Записан
|
|
|
|
Гром
Птычк. Тьфу, птычник... Вот!
Готовлюсь к пенсии
Offline
Пол:
Бодрый птах
|
|
« Ответ #16 : 26-08-2003 13:43 » |
|
club@shelek.com - по главам - сначала одну потом другую, потом третью - как в тот раз - главное что бы я успел забрать главу до того как ты положишь следующую - шли буду выгребать... Жаль у тебя нет ftp...
|
|
|
|
|
Записан
|
А птичку нашу прошу не обижать!!!
|
|
|
SlavaI
Главный специалист
Offline
|
|
« Ответ #17 : 26-08-2003 13:56 » |
|
Послал оглавление и две первые главы в одном письме- они маленькие. В сумме 2 Мб.
|
|
|
|
|
Записан
|
|
|
|
|
r00t
Гость
|
|
« Ответ #18 : 27-08-2003 01:14 » |
|
А можно мне книжку, plzzzzzzzzz.... или хотя-бы URL где взять. maxs1999@mail.ru |
|
|
|
|
Записан
|
|
|
|
SlavaI
Главный специалист
Offline
|
|
« Ответ #19 : 27-08-2003 05:16 » |
|
А можно мне книжку, plzzzzzzzzz.... или хотя-бы URL где взять.
Скоро на сайте будет. |
|
|
|
|
Записан
|
|
|
|
|
r00t
Гость
|
|
« Ответ #20 : 28-08-2003 03:56 » |
|
А можно мне книжку, plzzzzzzzzz.... или хотя-бы URL где взять.
Скоро на сайте будет. Жду с нетерпением... Огромное спасибо! |
|
|
|
|
Записан
|
|
|
|
Гром
Птычк. Тьфу, птычник... Вот!
Готовлюсь к пенсии
Offline
Пол:
Бодрый птах
|
|
« Ответ #21 : 28-08-2003 09:20 » |
|
Книга получена - дабы не убивать канал - а она большая - буду выкладывать в день по главе начиная с сегодняшнего дня.!!!
|
|
|
|
|
Записан
|
А птичку нашу прошу не обижать!!!
|
|
|
Diletant
Помогающий
Offline
|
|
« Ответ #22 : 10-09-2003 11:39 » |
|
Кстати, кто-нибудь знает, как расшифровывается IFSDK? А то Микрософт не признает такого продукта.
|
|
|
|
|
Записан
|
|
|
|
|
|
|
.
Гость
|
|
« Ответ #24 : 15-09-2003 09:22 » |
|
вот пример fs фильтра... хотя он и не использует создания своих устройств для фильтрации, но принцип обработки нужных запросов понять можно... http://he4dev.e1.bmstu.ru/HookSysCall/ |
|
|
|
|
Записан
|
|
|
|
Гром
Птычк. Тьфу, птычник... Вот!
Готовлюсь к пенсии
Offline
Пол:
Бодрый птах
|
|
« Ответ #25 : 15-09-2003 09:56 »  |
|
., Спасибо точка.
|
|
|
|
|
Записан
|
А птичку нашу прошу не обижать!!!
|
|
|
|
