MiniFilterドライバーの開発

どういうわけか、アクセスを管理し、特定のプロセスの一部としてファイルシステムにリクエストをリダイレクトするタスクに遭遇する機会がありました。 シンプルで簡単に構成可能なソリューションを実装する必要がありました。



テキストファイルを使用して構成されるMiniFilterドライバーを開発することにしました。



MiniFilterの一般的な用語を検討してください。



フィルタリングは、Windowsオペレーティングシステムに付属のいわゆるフィルターマネージャーを介して実行され、ミニフィルターを読み込むときにのみアクティブになります。 フィルターマネージャーは、ファイルシステムスタックに直接接続します。 ミニフィルターは、フィルターマネージャー機能を使用して入力/出力操作のデータを処理するために登録されているため、ファイルシステムへの間接的なアクセスを取得します。 登録および開始後、ミニフィルターは、構成中に指定されたI / O操作に関するデータのセットを受け取り、必要に応じてこれらのデータを変更できるため、ファイルシステムの操作に影響を与えます。





次の図は、フィルターマネージャーの機能を簡単な形式で示しています。



記事の最後にあるリンクを使用して、MSDN Webサイトでより詳細な理論情報を入手できます。 十分ではありませんが、すべてが分解されます。



私たちは開発に向かい、満たす必要があるいくつかの基本的な構造を検討します。



一般的なグローバルデータ。

typedef struct _MINIFILTER { PDRIVER_OBJECT pDriverObject; PFLT_FILTER pFilter; } MINIFILTER, *PMINIFILTER; MINIFILTER fileManager;
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

この構造では、ドライバーのオブジェクトへのリンクとフィルターインスタンスへのリンクを保存します。 PFLT_FILTERはミニフィルターを一意に識別し、ドライバーの全期間を通じて一定のままであることに注意してください。 フィルタリングプロセスをアクティブ化または停止するときに使用されます。



登録フィルター

 CONST FLT_REGISTRATION FilterRegistration = { sizeof( FLT_REGISTRATION ), // Size FLT_REGISTRATION_VERSION, // Version 0, // Flags NULL, // Context Callbacks, // Operation callbacks FilterUnload, // FilterUnload FilterLoad, // InstanceSetup NULL, // InstanceQueryTeardown NULL, // InstanceTeardownStart NULL, // InstanceTeardownComplete NULL, // GenerateFileName NULL // NormalizeNameComponent };
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ここでは、いくつかのフィールドで停止する価値があります。

1. コールバック-処理する機能と機能を決定する構造へのリンク。
2. FilterUnloadは、フィルターが無効になったときに呼び出される関数です。
3. FilterLoadは、フィルターが初期化されるときに呼び出される関数です。

次に、コールバックの構造を検討します。

 const FLT_OPERATION_REGISTRATION Callbacks[] = { { IRP_MJ_CREATE, 0, PreFileOperationCallback, PostFileOperationCallback }, { IRP_MJ_OPERATION_END } };
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ここでは、CreateFile操作をインターセプトすることを示します。また、ファイルに対する操作が実行される前と後に呼び出される関数も示します。



次に、フィルターが初期化されて無効になったときに呼び出される関数のコードを示します。

 NTSTATUS FilterLoad (IN PCFLT_RELATED_OBJECTS FltObjects, IN FLT_INSTANCE_SETUP_FLAGS Flags, IN DEVICE_TYPE VolumeDeviceType, IN FLT_FILESYSTEM_TYPE VolumeFilesystemType) { if (VolumeDeviceType == FILE_DEVICE_NETWORK_FILE_SYSTEM) { return STATUS_FLT_DO_NOT_ATTACH; } return STATUS_SUCCESS; } NTSTATUS FilterUnload ( IN FLT_FILTER_UNLOAD_FLAGS Flags ) { return STATUS_SUCCESS; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

すべてがかなり標準的なため、コードに追加のコメントは必要ないと思います。 私たちのドライバーはネットワークでは動作しないことに注意してください。



次に、ドライバーの初期化関数を見てみましょう。

 NTSTATUS DriverEntry( IN PDRIVER_OBJECT theDriverObject, IN PUNICODE_STRING theRegistryPath ) { int i; NTSTATUS status; PCHAR ConfigInfo; UNICODE_STRING test; DbgPrint("MiniFilter: Started."); // Register a dispatch function for (i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++) { theDriverObject->MajorFunction[i] = OnStubDispatch; } theDriverObject->DriverUnload = OnUnload; fileManager.pDriverObject = theDriverObject; status = FltRegisterFilter(theDriverObject, &FilterRegistration, &fileManager.pFilter); if (!NT_SUCCESS(status)) { DbgPrint("MiniFilter: Driver not started. ERROR FltRegisterFilter - %08x\n", status); return status; } ConfigInfo = ReadConfigurationFile(); if(ConfigInfo != NULL && NT_SUCCESS(ParseConfigurationFile(ConfigInfo))) { ExFreePool(ConfigInfo); DbgPrint("MiniFilter: Configuration finished."); }else { if(ConfigInfo != NULL)ExFreePool(ConfigInfo); FltUnregisterFilter( fileManager.pFilter ); DbgPrint("MiniFilter: Driver configuration was failed. Driver not started."); return STATUS_DEVICE_CONFIGURATION_ERROR; } status = FltStartFiltering( fileManager.pFilter ); if (!NT_SUCCESS( status )) { FltUnregisterFilter( fileManager.pFilter ); FreeConfigInfo(); DbgPrint("MiniFilter: Driver not started. ERROR FltStartFiltering - %08x\n", status); return status; } DbgPrint("MiniFilter: Filter was started and configured."); return STATUS_SUCCESS; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ミニフィルターの登録は、入力で受信したtheRriverObject、前述のFilterRegistration構造、および作成されたフィルターインスタンスfileManager.pFilterが配置される変数へのリンクを渡すFltRegisterFilter関数を呼び出すことによって実行されます。 フィルタリングプロセスを開始するには、FltStartFiltering関数（fileManager.pFilter）を呼び出す必要があります。



また、構成ファイルは次の呼び出しによってダウンロードおよび処理されることに注意してくださいConfigInfo = ReadConfigurationFile（）; それぞれParseConfigurationFile（ConfigInfo）。



構成ファイルからのデータは、次の構造セットに変換されます。

 typedef struct FILE_REDIRECT_RULE { UNICODE_STRING From; UNICODE_STRING To; struct FILE_REDIRECT_RULE *NextRule; }FileRedirectRule, *PFileRedirectRule; struct PROCESS_CONFIGURATION_RULE { UNICODE_STRING ProcessName; struct FILE_REDIRECT_RULE *Rule; }; typedef struct CONFIGURATION_MAP { struct PROCESS_CONFIGURATION_RULE ProcessRule; struct REDIRECT_MAP *NextItem; }ConfigurationMap ,*PConfigurationMap;
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ヘッド構造はCONFIGURATION_MAPで、ProcessRuleプロセスの説明へのリンクと次の要素へのポインターが格納されます。 次に、PROCESS_CONFIGURATION_RULEには、プロセス名へのリンクと、I / Oリダイレクトルール構造へのリンクが格納されます。これは、REDIRECT_MAPと同様にリンクリストです。



ドライバーのアンロード機能を考えてみましょう。非常に簡単です。

 VOID OnUnload( IN PDRIVER_OBJECT DriverObject ) { FltUnregisterFilter(fileManager.pFilter); FreeConfigInfo(); DbgPrint("MiniFilter: Unloaded"); }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ここでは、フィルターの登録を解除し、すべての構成構造を解放します。



次に、最も興味深い部分、つまり、入力/出力操作のリダイレクトを処理する関数に移りましょう。 かなり単純なドライバーがあるため、PreFileOperationCallbackでこれを実行します。

 FLT_PREOP_CALLBACK_STATUS PreFileOperationCallback ( __inout PFLT_CALLBACK_DATA Data, __in PCFLT_RELATED_OBJECTS FltObjects, __deref_out_opt PVOID *CompletionContext ) { NTSTATUS status; PFILE_OBJECT FileObject; PFileRedirectRule redirectRuleItem; PFLT_FILE_NAME_INFORMATION pFileNameInformation; PConfigurationMap rule; UNICODE_STRING fullPath; UNICODE_STRING processName; PWCHAR Volume; FLT_PREOP_CALLBACK_STATUS returnStatus = FLT_PREOP_SUCCESS_NO_CALLBACK; if(FLT_IS_FS_FILTER_OPERATION(Data)) { return FLT_PREOP_SUCCESS_NO_CALLBACK; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

主な変数を決定し、フィルタリング済みのものを既に受信しているかどうかも確認します。受信済みの場合は、この操作をスキップする必要があります。そうしないと、呼び出しの再帰を取得できます。

 if (FltObjects->FileObject != NULL && Data != NULL) { FileObject = Data->Iopb->TargetFileObject; if(FileObject != NULL && Data->Iopb->MajorFunction == IRP_MJ_CREATE) {
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ここでは、FilterManagerから受け取った構造のデータに目を向けます。 PFLT_CALLBACK_DATA構造-現在の入力/出力操作に関するデータを保存します。FilterManagerは、ファイルシステムにアクセスするときにこの構造のフィールドによってガイドされます。 したがって、ファイルまたはディレクトリにアクセスするときにWindowsの動作を変更する場合は、PFLT_CALLBACK_DATAにこれを反映する必要があります。 具体的には、フィールドData-> Iopb-> TargetFileObjectに興味があります。これを使用して、現在のセクションのファイルへのパスを取得し、必要に応じて後で変更して、OSの動作を変更できます。 PCFLT_RELATED_OBJECTS-このI / O操作に関連付けられたオブジェクト（ファイル、セクションなどへのリンクなど）が含まれます。 必要な構造の要素が満たされていることを確認してください。 また、実行しているコンテキストの関数が実際にMJ_CREATEであることも確認します。

 processName.Length = 0; processName.MaximumLength = NTSTRSAFE_UNICODE_STRING_MAX_CCH * sizeof(WCHAR); processName.Buffer = ExAllocatePoolWithTag(NonPagedPool, processName.MaximumLength,CURRENT_PROCESS_TAG); RtlZeroMemory(processName.Buffer, processName.MaximumLength); status = GetProcessImageName(&processName);
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

コードのこのセクションでは、パスとプロセス名にメモリを割り当てます。 文字列のサイズが想像できないので、可能な限り最大のWCHAR文字列を選択します。 ソースコードGetProcessImageNameは考慮しません。次の形式でファイルへのフルパスを返すとしか言えません：\ Device \ HarddiskVolume4 \ Windows \ notepad.exe。 つまり、セクションであり、実際にはファイルへのパスです。

  if(NT_SUCCESS(status)) { if(LoggingEnabled()== 1) { DbgPrint("MiniFilter: Process: %ws", processName.Buffer); } } else { return FLT_PREOP_SUCCESS_NO_CALLBACK; } rule = FindRuleByProcessName(&processName,GetRedirectionMap());
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

FindRuleByProcessName関数は、成功した場合、現在のプロセスのリダイレクトルールを含むリンクリストの最初の要素を返します。それ以外の場合はNULLを返します。

 ExFreePool(processName.Buffer); if(rule != NULL){ if(LoggingEnabled() == 1) { DbgPrint("MiniFilter: File name %ws", FileObject->FileName.Buffer); } redirectRuleItem = rule->ProcessRule.Rule;
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

不要なメモリを解放し、NULLではなく、何らかのオブジェクトが取得されたことを確認します。 redirectRuleItem = rule-> ProcessRule.Rule-このプロセスの最初のルールへのアクセス。

 while(redirectRuleItem) { if(RtlCompareUnicodeString(&FileObject->FileName ,&redirectRuleItem->From, FALSE) == 0) { status = FltGetFileNameInformation( Data, FLT_FILE_NAME_NORMALIZED | FLT_FILE_NAME_QUERY_ALWAYS_ALLOW_CACHE_LOOKUP, &pFileNameInformation );
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このプロセスのすべてのルールに従ってパッセージを開始し、現在のファイルへのリンクを構成にあるものと比較します。 一致する場合、たとえば、どのセクションに属しているかなど、ファイルに関する追加情報を取得しようとします。 これを行うには、FltGetFileNameInformation関数を使用します。

 if(NT_SUCCESS(status)) { fullPath.Length = 0; fullPath.MaximumLength = NTSTRSAFE_UNICODE_STRING_MAX_CCH * sizeof(WCHAR); fullPath.Buffer = ExAllocatePoolWithTag(NonPagedPool, fullPath.MaximumLength, FULL_PATH_TAG); RtlZeroMemory(fullPath.Buffer, fullPath.MaximumLength); Volume = wcssplt(pFileNameInformation->Volume.Buffer, redirectRuleItem->From.Buffer ); RtlAppendUnicodeToString(&fullPath, Volume); RtlAppendUnicodeToString(&fullPath, redirectRuleItem->To.Buffer); ExFreePool(Volume); ExFreePool(FileObject->FileName.Buffer);
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

すべてが問題ない場合は、セクションを選択してから最終行を作成してください。 最終パス=現在のセクション+ I / O要求の送信先。

  FileObject->FileName.Length = fullPath.Length; FileObject->FileName.MaximumLength = fullPath.MaximumLength; FileObject->FileName.Buffer = fullPath.Buffer; Data->Iopb->TargetFileObject->RelatedFileObject = NULL; Data->IoStatus.Information = IO_REPARSE; Data->IoStatus.Status = STATUS_REPARSE; DbgPrint("MiniFilter: Redirect done %ws", fullPath.Buffer); return FLT_PREOP_COMPLETE;
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、ファイルマネージャーがこの要求をもう一度処理するようにシステム構造を構成しますが、これは別の方法でのみです。 これを行うには、フィールドData-> IoStatus.Information = IO_REPARSEおよびData-> IoStatus.Status = STATUS_REPARSE;に以下の値を設定するとともに、ファイルFile-> FileName.Buffer = fullPath.Bufferへの新しいパスを指定することが重要です。 関数の結果として、FLT_PROP_COMPLETEを返します。

  } } redirectRuleItem = redirectRuleItem->NextRule; } } } } return FLT_PREOP_SUCCESS_NO_CALLBACK; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

リダイレクトリストの次の要素に移動することを忘れないでください。 現在のフィルターマネージャー操作で何もしない場合は、FLT_PREOP_SUCCESS_NO_CALLBACKを返します。



現時点では、I / O再定義は1つのセクションのフレームワーク内でのみ機能します。複数のセクションをサポートするオプションをデバッグしたらすぐに投稿します。



この記事のソースにある例のように、特別に設計されたinfファイルを使用して、ミニフィルターをインストールする必要があります。



構成ファイルの形式は次のとおりです。

 #minifilter config start { #logging : off #process : \Device\HarddiskVolume4\Windows\notepad.exe { #rule : redirect { #from : \test.txt #to : \data\test.txt } #rule : redirect { #from : \ioman.log #to : \IRCCL.ini } } }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ファイルはCドライブのルートにある必要があり、名前はminifilter.confである必要があります。



そのため、ファイルI / Oリクエストをリダイレクトする機能がありますが、さらに、ファイルへのアクセスを制限するメカニズムは非常に簡単です。 アクセスを拒否する必要があるファイルを選択し、システム構造Data-> IoStatus.Status = STATUS_ACCESS_DENIED;。のフィールドに次の値を指定する必要があります。 関数の結果としてFLT_PROP_COMPLETEを忘れずに返すようにしてください。



サービスを開始または停止するには、KMDマネージャーを使用します。 PoolTagメモリリークを分析するには。 デバッグについては、DbgViewを使用できますが、Windows Vista以降では、デバッグメッセージをアクティブにする必要がありますこれを行うには、次のパスにDWORDレジストリキーを作成します。HKEY_LOCAL_MACHINE\ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ Debug Print Filter 8。



64ビットバージョンのWindows 7でドライバーを起動するには、ドライバー署名の検証を無効にする必要があります。これを行うには、コンピューターを再起動し、システムの起動時にF8を押して、ドライバー署名強制を無効にするを選択するか、ドライバー署名強制オーバーライド（DSEO）ユーティリティを使用します。 このユーティリティを使用すると、ドライバーをデバッグするためのテストモードをアクティブにし、偽の証明書で目的のドライバーに署名できます。これにより、最終的に問題なく使用できます。



ロギングが有効かどうかに関係なく、DbgViewでサービスを開始した後、同様のものを観察する必要があります。





したがって、ドライバーはDeviceTreeを調べます。





コードはまだかなり未加工であり、改善する必要があると付け加えることができますが、全体的には問題なく機能します。 実際、BSODを持っている場合、それは私のせいではありません）。 Windows 7 X86およびWindows 7 IA64でのみテスト済み。



ソースとユーティリティへのリンク： publish.rar



読むべきもの：

1. MSDNドキュメント
2. ファイルシステムとフィルターのブログ

PS。 私はシステムプログラミングの専門家ではないため、この記事は完全ではないと主張します。 活動の性質上、Microsoft Dynamics CRM（.net、asp.netなど）の開発に従事しています。



あなたのコメントを歓迎します。