Boxcounter's blog

吐血的ZwEnumerateKey

boxcounter — 2010-08-27 19:04

哥本机装的是WDK7600_1，貌似是今年上半年出的，里面关于ZwEnumerateKey的第三个参数是这么说的~

KeyInformationClass: Specifies a KEY_INFORMATION_CLASS value that determines the type of information to be received by the KeyInformation buffer.

EventLog

boxcounter — 2010-04-07 17:10

EventLog功能的使用就不多废话了，有不少资料，wdk里提供的源码也有范例。这里主要记一下我编写过程中遇到的一个小、但是很恼人的一个小问题。日志成功写入系统日志数据库了，但是显示不正常，提示：
“自 I/O 子系统收到的驱动程序数据包无效。数据在数据包内。”

……

阅读全文

卷的文件系统识别、卷的挂载以及路径解析

boxcounter — 2010-03-09 20:30

前段时间琢磨文件过滤驱动的时候碰到一个棘手的问题，当时挂上wrk内核分析，发现了问题的关键点。分析的过程中明显感觉自己对IoMgr、ObjMgr、Fsd、Volume这些组件的结构关系掌握得很烂，于是最近这几天专门又挂上wrk内核，一点一点的追踪。有了一点收获，记录在这里，备忘。顺便也许会给一些朋友一点点帮助。

……

阅读全文

有关 STATUS_INVALID_DEVICE_OBJECT_PARAMETER

boxcounter — 2009-11-15 16:08

    这两天遇到一个问题，记录在这里。
    我有两个FS过滤驱动，这里称它们为 A 和 B，A 在 B 之上，其中 B 是个重定向驱动。下面是问题描述：
    A 调用 FltCreateFile 打开 C: 中的某个文件，B收到这个请求后，指定这个请求重定向到 D:，结果 A收到了错误码 STATUS_INVALID_DEVICE_OBJECT_PARAMETER。挂上 WRK 调试，发现整个调用栈是这样：

    ……

阅读全文

堆破坏和 Special pool

boxcounter — 2009-11-13 09:52

    前阵子遇到个堆破坏的BUG，花了一个早上才找到根源，一个低级错误：
    首先我定义了一个变量用于存储进程完整路径：

    UNICODE_STRING usProcessPath = {0, MAX_PATH * sizeof(WCHAR), NULL};

    ……

阅读全文

[ZZ] Filter Manager Concepts: Part 1 – FLTP_FRAME

boxcounter — 2009-10-19 12:56

Filter Manager's only purpose is to simplify writing file system filters and sometimes it does this by abstracting some of the things that a filter needs to deal with……

阅读全文

关于 sizeof

boxcounter — 2009-09-17 11:52

谁能帮忙解释下，今天调试的时候，windbg同学给的结果。

难道被当成指针了？

补：刚跟robin讨论了下，猜测是MS WDK编译器的解释问题，目前这是唯一靠谱的解释了。

又补：根据robin的提示，用VC试了下，CPP中值就是1，C就是4。应该就是MS C编译器的解释方式了。

[ZZ]Tutorial suggestion for newbie

boxcounter — 2009-08-21 23:44

[ntfsd] Tutorial suggestion for newbie

       回家路上看邮件，发现一个很有意思的讨论帖，里面讨论的主要是文件系统相关的驱动开发的东西，包括辛酸苦辣什么的。自己也在这块做了一段时间了，看着这个帖子挺有感触的，于是全贴转载，后续如果有更新，也会补在后头。
      里面提到了楚狂人的那篇文件过滤驱动的资料，确实挺感谢楚狂人的，能够分享自己的心得，这个文档也给了我不少帮助，真诚的感谢。

       另：别问我为什么要把这段话的背景色弄成这样，哥们也不想的，粘贴过来的时候一不小心复制了一个不知道什么的鸟元素，删不掉，减不走，只好废物利用~

阅读全文

驱动中获取进程完整路径名

boxcounter — 2009-07-23 18:55

在OSR上无意中看到一篇文章，关于获取进程完整路径的。贴过来，最后有一点小调整。

原文地址：http://www.osronline.com/article.cfm?id=472

……

阅读全文

[ZZ] Hooking has its disadvantages!

boxcounter — 2009-04-08 17:48

I actually wanted to write on how to hook the SSDT. But then I realized why not give a warning of why you should not do a thing and then go on to actually tell you how to do that wrong thing.
……

阅读全文

[ZT] Do you really need to hook it?

boxcounter — 2009-04-08 17:43

An evergreen question 'How should I hook...? I want to monitor/ block...' How many of us really look up before asking this question?
……

阅读全文

[ZZ] FltLockUserBuffer locks the buffer in CORRECT process context- HOW?

boxcounter — 2009-04-08 16:54

The WDK documentation says "The caller can be running in any process context. FltLockUserBuffer automatically locks the buffer in the correct process context." Remember that in our legacy filters we used to call MmProbeAndLockPages in the correct process context to lock the pages?

……

阅读全文

通过inf安装驱动

boxcounter — 2009-04-01 13:20

     今天遇到个问题，耗了不短的时间，记下来，备份，顺便给遇到同样的问题的朋友一些帮助。

     用rundll32 通过 inf 文件安装我的驱动的时候，老是会失败。最开始是因为inf有些问题，最后用WDK自带的checkinf检查、修改后，解决。之后又有个问题，rundll32提示“安装失败”，当时的命令如下：
……

阅读全文

InstallHinfSection

boxcounter — 2009-03-31 14:03

MS提供的一个函数，MSDN上有详细的，今天琢磨inf文件，网上找了一些，不够详细，于是干脆贴在这里，作为备份，大家请无视。

阅读全文

[ZZ] Creating an INF File for a Minifilter Driver

boxcounter — 2009-03-31 13:59

An INF file for a file system minifilter driver generally contains the following sections:

……

阅读全文

[ZZ] Filtering File Systems - Then Things You Should Know

boxcounter — 2009-03-18 19:30

Regardless of whether you are still supporting legacy file system filter drivers, or maintaining or building new mini-filter drivers, there are some common techniques (ok, there are only nine?) you can use to improve the robustness of your filter. Many of these are pragmatic - they are not things you will read in the documentation, they come from experience working with filters for many, many years.

Never Trust Buffers
……

阅读全文

奇怪的现象

boxcounter — 2008-12-01 19:07

2个不同文件，2个不同的FO，相同的“FCB”，相同的SectionObjectPointer，实在是让人费解~

阅读全文

有关卡巴对BUG态度的感想

boxcounter — 2008-10-15 18:35

今年一直在做文件过滤驱动的学习和开发，OSR这个驱动圣地自然是少不了要去学习的，OSR有个功能很赞，如果你同意，它会自动将你加入的版块的每一个帖子及后续回复都以邮件的方式通知给你。这个功能相当方便......

阅读全文

有关符号表

boxcounter — 2008-08-20 18:52

WinDbg帮助文档上的一小段：

All types created by typedefs within your own code will be present......

阅读全文

NOBUFFER vs WRITE_THROUGH

boxcounter — 2008-06-10 22:19

根据sinister的提示，用ProcMon追查了不同标志的写、读操作。正好弄清楚了之前自己迷糊的一个地方，看来我还是太懒了，读的资料倒是挺多，经常对着资料冥思苦想，却忘了自己动手试验。一小部分是填鸭式教育养成的习惯，更多的是自己的学习习惯有问题，写在这里，提醒自己。

图1. WRITE_THROUGH方式打开文件，然后写文件

图2. NO_BUFFER方式打开文件，然后写文件


				回家路上看邮件，发现一个很有意思的讨论帖，里面讨论的主要是文件系统相关的驱动开发的东西，包括辛酸苦辣什么的。自己也在这块做了一段时间了，看着这个帖子挺有感触的，于是全贴转载，后续如果有更新，也会补在后头。里面提到了楚狂人的那篇文件过滤驱动的资料，确实挺感谢楚狂人的，能够分享自己的心得，这个文档也给了我不少帮助，真诚的感谢。另：别问我为什么要把这段话的背景色弄成这样，哥们也不想的，粘贴过来的时候一不小心复制了一个不知道什么的鸟元素，删不掉，减不走，只好废物利用~

Boxcounter's blog

吐血的ZwEnumerateKey

EventLog

卷的文件系统识别、卷的挂载以及路径解析

有关 STATUS_INVALID_DEVICE_OBJECT_PARAMETER

堆破坏 和 Special pool

[ZZ] Filter Manager Concepts: Part 1 – FLTP_FRAME

关于 sizeof

[ZZ]Tutorial suggestion for newbie

驱动中获取进程完整路径名

[ZZ] Hooking has its disadvantages!

[ZT] Do you really need to hook it?

[ZZ] FltLockUserBuffer locks the buffer in CORRECT process context- HOW?

通过inf安装驱动

InstallHinfSection

[ZZ] Creating an INF File for a Minifilter Driver

[ZZ] Filtering File Systems - Then Things You Should Know

奇怪的现象

有关卡巴对BUG态度的感想

有关符号表

NOBUFFER vs WRITE_THROUGH

堆破坏和 Special pool