文件过滤驱动是否能在系统启动的时候创建读写自己的日志文件?[b]百分相送，需要完整的例子。[/b]

文件过滤驱动是否能在系统启动的时候创建读写自己的日志文件，例如拦截IRP_MJ_CREATE,当系统调用KERNEL32.dll时候进入我的MyCreate函数中，这个时候我将文件名写入日志，这个时候会蓝屏并自动reboot,有谁知道为什么？怎么解决这个问题？百分相送，需要完整的例子。filter@redsec.org

注释：当启动启动完也就是显示出桌面的时候读写日志文件操作一切正常，读写操作用ZwCreateFile,ZwWriteFile,ZwReadFile函数完成。
驱动启动类型为start:0

[编辑 -  2/18/05 by  paladinii]

驱动也是需要其它内核组件支撑的，一个驱动在支持它的核心系统组件没有被加载时是不可能work的。
如果有这种需求，建议还是采用动态加载驱动，例如可以写一个控制台服务，让服务来加载驱动，因为这时候加载，系统的很多底层服务都已经开始work了，可能会解决你的问题。

fslife,我见过一种这样的过滤驱动，比如你把KERNEL32.DLL破坏或者修改了，你看看系统还能正常启动不？这个时候如果有我说的那个过滤驱动可以用好的KERNEL32.dll覆盖损坏的KERNEL32.dll使得系统可以正常启动，这样的驱动我是见过的，他用的ZwCreateFile等函数完成覆盖操作的？我是这么理解的？你有什么好的建议？完成覆盖操作还有什么好的方法？

[编辑 -  2/3/05 by  paladinii]

 [url] http://www.driverdevelop.com/forum/html_86570.html?1107667604[/url]

怎么没人来拿分吗？还是我的问题太难了？？

fslife,我见过一种这样的过滤驱动，比如你把KERNEL32.DLL破坏或者修改了，你看看系统还能正常启动不？这个时候如果有我说的那个过滤驱动可以用好的KERNEL32.dll覆盖损坏的KERNEL32.dll使得系统可以正常启动，这样的驱动我是见过的，他用的ZwCreateFile等函数完成覆盖操作的？我是这么理解的？你有什么好的建议？完成覆盖操作还有什么好的方法？

[编辑 -  2/3/05 by  paladinii]

KERNEL32.DLL坏了它属于Win32层的东西，系统虽然启动不起来，但根本关系不大，就是ntdll.dll坏了，也根本没关系，它也属于Win32层的东西。只要ntoskrnl.exe这个东东不坏，系统0级就能工作，至于恢复这两个文件，对于ntoskrnl.exe简直小意思，全部文件操作都是通过KERNEL32.DLL->ntdll.dll->(INT 2E)ntoskrnl.exe，最终是ntoskrnl.exe处理。

如果要实现开机系统文件保护的话,最好的方法是用自己的启动代替WINDOWS的启动,一般从MBR开始层层检测保护NTLDR,NTDTECT,NTOSKRNL,HAL,驱动程序,系统DLL等......
当然也可以从硬件开始加入对MBR的保护......

如果要实现开机系统文件保护的话,最好的方法是用自己的启动代替WINDOWS的启动,一般从MBR开始层层检测保护NTLDR,NTDTECT,NTOSKRNL,HAL,驱动程序,系统DLL等......
当然也可以从硬件开始加入对MBR的保护......

保护都是相对的，除非CPU可以设口令！！嘻嘻。。。

 

KERNEL32.DLL坏了它属于Win32层的东西，系统虽然启动不起来，但根本关系不大，就是ntdll.dll坏了，也根本没关系，它也属于Win32层的东西。只要ntoskrnl.exe这个东东不坏，系统0级就能工作，至于恢复这两个文件，对于ntoskrnl.exe简直小意思，全部文件操作都是通过KERNEL32.DLL->ntdll.dll->(INT 2E)ntoskrnl.exe，最终是ntoskrnl.exe处理。

我的问题是怎么恢复这个文件？怎样在它之前启动我的file filter driver其它的方案不考虑，只要能实现我说的方法就可以。
哪位有好的方法？高分赐教！

[quote] KERNEL32.DLL坏了它属于Win32层的东西，系统虽然启动不起来，但根本关系不大，就是ntdll.dll坏了，也根本没关系，它也属于Win32层的东西。只要ntoskrnl.exe这个东东不坏，系统0级就能工作，至于恢复这两个文件，对于ntoskrnl.exe简直小意思，全部文件操作都是通过KERNEL32.DLL->ntdll.dll->(INT 2E)ntoskrnl.exe，最终是ntoskrnl.exe处理。

我的问题是怎么恢复这个文件？怎样在它之前启动我的file filter driver其它的方案不考虑，只要能实现我说的方法就可以。
哪位有好的方法？高分赐教！ [/quote]
只用ntoskrnl.exe输出的函数从已备份好的文件中，覆盖即可。

 

只用ntoskrnl.exe输出的函数从已备份好的文件中，覆盖即可。

现在的关键的问题是，怎么保证我的文件过滤驱动在被损坏的文件(例如：Kernel32.dll)之前启动？而不是怎么恢复。多谢指教。

[编辑 -  2/16/05 by  paladinii]

呵呵，我觉得大家有个坏毛病，老是把话题扯得远得不得了，呵呵。
对于你的问题，是个很明显的Create重入现象，以前有帖子回答过这种重入问题的解决之道，就是自己建立
IRP_Create然后下传.这样不光解决重入问题，也同时解决了在你没有NtCreateFile（）系统调用时，打开或创建文件的方法。不过，自己建立IRP是个很复杂的过程，挺麻烦的（我好像以前贴过这个代码），除此之外，我觉得，应该别无它法。而这种方法因该是很见成效的，可惜我现在不再学校，如果我回学校还记得的话，我给你贴一份代码好了。

在精华区里的《有狠心的同志请看看〉〉里有回复

[编辑 -  2/18/05 by  SupermiLG]

[编辑 -  2/18/05 by  SupermiLG]

SupermiLG兄弟说得很对是因为IRP_MJ_CREATE重入导致系统自动的重起。关于Building IRP我倒是没有问题。 现在问题是怎么使我的过滤驱动在KERNEL32.DLL之前启动，并截获系统对KERNEL32.DLL的调用请求。？另外最好把你的代码发过来给我参考一下。多谢了！

另外，wowocock老大，

如果要实现开机系统文件保护的话,最好的方法是用自己的启动代替WINDOWS的启动,一般从MBR开始层层检测保护NTLDR,NTDTECT,NTOSKRNL,HAL,驱动程序,系统DLL等......
当然也可以从硬件开始加入对MBR的保护......

你这段话对我很有启发，能不能在详细的说说怎样用自己的启动代替WINDOWS的启动？或者给点相关的资料，多谢了。分数有的是，我会在开几个贴子到时只要大家去随便留言就会给分的。当然大家都不是冲着分来的分数只是我对大家表达感谢的一种方式罢了。多谢大家的帮助和指点。

[编辑 -  2/18/05 by  paladinii]

大虾们快显身阿！我的问题谁能帮我啊?

高明！

 

如果要实现开机系统文件保护的话,最好的方法是用自己的启动代替WINDOWS的启动,一般从MBR开始层层检测保护NTLDR,NTDTECT,NTOSKRNL,HAL,驱动程序,系统DLL等......
当然也可以从硬件开始加入对MBR的保护......

这样做针对哪些客户呢？