Volá sa ovládač filtra, ktorý je v hierarchii vyšší ako ovládač systému súborov ovládač filtra systému súborov(ovládač filtra systému súborov). (Ovládače filtrov nájdete v kapitole 9.) Jeho schopnosť vidieť všetky požiadavky na súborový systém a v prípade potreby ich upravovať alebo vykonávať, umožňuje vytvárať aplikácie, ako sú replikačné služby. zmazané súbory, šifrovanie súborov, zálohovanie a licencovanie. Každý komerčný antivírusový skener, ktorý skenuje súbory za chodu, obsahuje ovládač súborového systému, ktorý zachytáva IRP príkazmi IRP_MJ_CREATE vydanými vždy, keď aplikácia otvorí súbor. Pred odoslaním takejto IRP do ovládača systému súborov, ktorému je tento príkaz adresovaný, antivírusový skener skontroluje, či sa v otváranom súbore nenachádzajú vírusy. Ak je súbor čistý, antivírusový skener prejde IRP reťazcom, ale ak je súbor infikovaný, skener zavolá servisný proces a súbor odstráni alebo dezinfikuje. Ak súbor nie je možné dezinfikovať, ovládač filtra odmietne IRP (zvyčajne s chybou „prístup odmietnutý“), aby sa zabránilo aktivácii vírusu.

V tejto časti popisujeme, ako fungujú dva konkrétne ovládače filtrov systému súborov: Filemon a Obnovenie systému. Filemon je nástroj na monitorovanie činnosti systému súborov (z webu wwwsystntemals.com), použitý v mnohých experimentoch v tejto knihe je príkladom pasívneho ovládača filtra, ktorý nemodifikuje tok IRP medzi aplikáciami a ovládačmi systému súborov. Obnovenie systému, funkcia zavedená v systéme Windows XP, používa ovládač filtra systému súborov na monitorovanie zmien v kľúčových systémových súboroch a zálohuje ich, aby sa tieto súbory mohli vrátiť do stavu, v akom boli pri vytváraní bodov obnovenia.

POZNÁMKA Windows XP Service Pack 2 a Windows Server 2003 obsahujú Správcu filtrov Filesystem (\ Windows \ System32 \ Drivers \ Fltmgr.sys) ako súčasť modelu portu miniportu pre ovládače filtrov systému súborov. Tento komponent bude k dispozícii aj pre systém Windows 2000. Správca filtrov Filesystem dramaticky zjednodušuje vývoj ovládačov filtrov tým, že poskytuje rozhranie pre ovládače miniportov filtrov pre subsystém Windows I / O, ako aj podporuje služby pre dotazovanie názvov súborov, pripájanie k zväzkom a interakcia s inými filtrami. Vývojári vrátane spoločnosti Microsoft napíšu nové filtre systému súborov na základe infraštruktúry poskytovanej Správcom filtrov Filesystem a migrujú do nej existujúce filtre.

<= IRP_MJ_MAXIMUM_FUNCTION; ++i) { DriverObject->MajorFunction [i] = FsFilterDispatchPassThrough; ) DriverObject->

// // Globálne údaje FAST_IO_DISPATCH g_fastIoDispatch = (sizeof (FAST_IO_DISPATCH), FsFilterFastIoCheckIfPossible, ...); // // DriverEntry-vstupný bod ovládača NTSTATUS DriverEntry (__ inout PDRIVER_OBJECT DriverObject, __in PUNICODE_STRING RegistryPath) (... // // Nastavenie expedičnej tabuľky fast-io. // DriverObject->

Nastavenie rutiny vykladania ovládača

// // DriverEntry - vstupný bod ovládača NTSTATUS DriverEntry (__ inout PDRIVER_OBJECT DriverObject, __in PUNICODE_STRING RegistryPath) (... // // Nastaviť rutinu uvoľnenia ovládača (iba na účely ladenia). // DriverObject->

< numDevices; ++i) { FsFilterDetachFromDevice(devList[i]); ObDereferenceObject(devList[i]); } KeDelayExecutionThread(KernelMode, FALSE, &interval); } }

IrpDispatch.c

Expedičný priechod

// // PassThrough IRP Handler NTSTATUS FsFilterDispatchPassThrough (__ v PDEVICE_OBJECT DeviceObject, __in PIRP Irp) (PFSFILTER_DEVICE_EXTENSION pDevExt = (PFSFILTER_DEVICE_EXTENSION) DeviceObject-> Device

Odoslať vytvoriť

// // IRP_MJ_CREATE IRP Handler NTSTATUS FsFilterDispatchCreate (__ v PDEVICE_OBJECT DeviceObject, __in PIRP Irp) (PFILE_OBJECT pFileObject = IoGetCurrentIrpStackLocation (Irp) "Dbg->

FastIo.c

// Makro na otestovanie, či je manipulačná rutina FAST_IO_DISPATCH platná #define VALID_FAST_IO_DISPATCH_HANDLER (_FastIoDispatchPtr, _FieldName) \ (((_FastIoDispatchPtr)! = NULL) && \ ((_FastIoDISOD) -> _ FieldName! = NULL))

Rýchly prechod I / O

BOOLEAN FsFilterFastIoQueryBasicInfo (__ v PFILE_OBJECT FileObject, __in BOOLEAN Wait, __out PFILE_BASIC_INFORMATION pufra, __out PIO_STATUS_BLOCK IoStatus, __in PDEVICE_OBJECT DeviceObject) (// // Heslo cez logiku pre tento typ Fast I / O // PDEVICE_OBJECT nextDeviceObject = ((PFSFILTER_DEVICE_EXTENSION) DeviceObject -> DeviceExtension) -> AttachedToDeviceObject; PFAST_IO_DISPATCH fastIoDispatch = nextDeviceObject-> DriverObject -> FastIoDispatch; if (VALID_FAST_IO_DISPATCH_HANDLER (fastIoDispatch, FastIoQuery)

Zariadenie na rýchle odpojenie I / O

Oznámenie.c

AttachDetach.c

Pripevnenie

Odpojenie

neplatné FsFilterDetachFromDevice (__ v PDEVICE_OBJECT DeviceObject) (PFSFILTER_DEVICE_EXTENSION pDevExt = (PFSFILTER_DEVICE_EXTENSION) DeviceObject-> DeviceExtension; IoDetachDevice (pDevExt->

// // Rôzne BOOLEAN FsFilterIsMyDeviceObject (__ v PDEVICE_OBJECT DeviceObject) (vrátiť DeviceObject->

Zdroje a makefile

Obsah súboru zdrojov:

Makefile je štandardný:

Prehľad SC.EXE

Začnite FsFilter

Zastavte ovládač systému súborov

Sc stop FsFilter

Vymažte FsFilter

Výsledný skript

Stále pokročilejšie

Záver

V našom návode sme vám poskytli jednoduché kroky na vytvorenie ovládača filtra filtra systému súborov. Ukázali sme vám, ako nainštalovať, spustiť, zastaviť a odinštalovať ovládač filtra systému súborov pomocou príkazového riadka. Diskutovalo sa aj o ďalších problémoch s ovládačom filtra systému súborov. Uvažovali sme o súbore zariadení systému súborov s pripojenými filtrami a diskutovali sme o tom, ako monitorovať výstup ladenia z ovládača. Prostriedky v tomto článku môžete použiť ako kostru na vývoj vlastného ovládača filtra systému súborov a úpravu jeho správania podľa vášho potreby.

Referencie

1. Obsah pre vývojárov systému súborov alebo filtrov systému súborov
2. vzorka filtra DDK

Dúfam, že sa vám páčil náš návod na vývoj ovládača Windows. Ste pripravení najať skúsený tím na prácu na vašom projekte, ako je vývoj ovládača filtra filtra systému súborov? Stačí nás kontaktovať a my vám poskytneme všetky podrobnosti!

Tento tutoriál vám ponúka ľahko zrozumiteľné kroky pre jednoduchý vývoj ovládača filtra filtra systému súborov. Ukážkový ovládač, ktorý vám ukážeme, ako vytvárať názvy otvorených súborov, tlačí na ladenie výstupu.

Tento článok je napísaný pre inžinierov so základnými skúsenosťami s vývojom ovládača zariadenia Windows a so znalosťou C / C ++. Okrem toho by to mohlo byť užitočné aj pre ľudí bez hlbokého porozumenia vývoju ovládačov Windows.

Napísané:
Sergey Podobriy,
Vedúci tímu vodičov

Čo je ovládač filtra systému súborov systému Windows?

Pri každej operácii I / O systému súborov (vytváranie, čítanie, zápis, premenovanie atď.) Sa volá ovládač filtra systému súborov Windows. Preto je schopný zmeniť správanie súborového systému. Ovládače filtrov systému súborov sú porovnateľné so staršími ovládačmi, aj keď vyžadujú niekoľko špeciálnych vývojových krokov. Bezpečnostný, zálohovací, snapshotový a antivírusový softvér používa tieto ovládače.

Vývoj jednoduchého ovládača filtra systému súborov

Pred začatím vývoja

Po prvé, na vývoj ovládača filtra systému súborov, potrebujete súpravu IFS alebo WDK z webovej stránky spoločnosti Microsoft. Musíte tiež nastaviť premennú prostredia% WINDDK% na cestu, kam ste nainštalovali súpravu WDK / IFS.

Pozor: Aj najmenšia chyba v ovládači súborového systému môže spôsobiť BSOD alebo nestabilitu systému.

Main.c

Záznam ovládača filtra filtra systému súborov

Je to prístupový bod pre akýkoľvek ovládač, vrátane ovládača filtra systému súborov. Prvá vec, ktorú by sme mali urobiť, je uložiť DriverObject ako globálnu premennú (použijeme ju neskôr):

// // Globálne údaje PDRIVER_OBJECT g_fsFilterDriverObject = NULL; // // DriverEntry - vstupný bod ovládača NTSTATUS DriverEntry (__ inout PDRIVER_OBJECT DriverObject, __in PUNICODE_STRING RegistryPath) (stav NTSTATUS = STATUS_SUCCESS; ULONG i = 0; // ASSERT (FALSE); // Toto sa pri ladení / ukladaní rozbije náš objekt ovládača. // g_fsFilterDriverObject = DriverObject; ...)

Nastavenie expedičnej tabuľky IRP

Ďalším krokom pri vývoji ovládača filtra systému súborov je vyplnenie expedičnej tabuľky IRP ukazovateľmi funkcií do obslužných rutín IRP. V našom ovládači filtra budeme mať generický odovzdávací obslužný program IRP, ktorý bude odosielať požiadavky ďalej. Budeme tiež potrebovať obslužný program pre IRP_MJ_CREATE na načítanie názvov otvorených súborov. Implementáciu obslužných rutín IRP zvážime neskôr.

// // DriverEntry - vstupný bod ovládača NTSTATUS DriverEntry (__ inout PDRIVER_OBJECT DriverObject, __in PUNICODE_STRING RegistryPath) (... // // Inicializácia tabuľky odoslania objektu ovládača. // for (i = 0; i<= IRP_MJ_MAXIMUM_FUNCTION; ++i) { DriverObject->MajorFunction [i] = FsFilterDispatchPassThrough; ) DriverObject-> MajorFunction = FsFilterDispatchCreate; ...)

Nastavenie tabuľky rýchleho odoslania I / O

Ovládač filtra systému súborov vyžaduje rýchlu expedičnú tabuľku I / O. Nenastavenie tejto tabuľky by viedlo k zrúteniu systému. Rýchle I / O je iný spôsob, ako iniciovať I / O operácie, ktoré sú rýchlejšie ako IRP. Rýchle I / O operácie sú vždy synchrónne. Ak rýchly popisovač I / O vráti FALSE, potom nemôžeme použiť rýchle I / O. v takom prípade sa vytvorí IRP.

// // Globálne údaje FAST_IO_DISPATCH g_fastIoDispatch = (sizeof (FAST_IO_DISPATCH), FsFilterFastIoCheckIfPossible, ...); // // DriverEntry-Vstupný bod ovládača NTSTATUS DriverEntry (__ inout PDRIVER_OBJECT DriverObject, __in PUNICODE_STRING RegistryPath) (... // // Nastavenie expedičnej tabuľky fast-io. // DriverObject-> FastIoDispatch = & g_fastIoDispatch; .. .

Registrácia upozornení na zmeny systému súborov

Pri vývoji ovládača filtra systému súborov by sme mali zaregistrovať upozornenie na zmeny systému súborov. Aby bolo možné vykonať pripojenie / odpojenie nášho ovládača filtra systému súborov, je dôležité sledovať, či sa súborový systém aktivuje alebo deaktivuje. Nižšie vidíte, ako sledovať zmeny systému súborov.

// // DriverEntry - vstupný bod ovládača NTSTATUS DriverEntry (__ inout PDRIVER_OBJECT DriverObject, __in PUNICODE_STRING RegistryPath) (... // // Zaregistrovaná rutina spätného volania pre zmeny systému súborov. // status = IoRegisterFsRegistrationChange (DriverObange, FsFCall (! NT_SUCCESS (status)) (návratový stav;) ...)

Nastavenie rutiny vykladania ovládača

Poslednou časťou inicializácie ovládača systému súborov je nastavenie rutiny uvoľnenia. Táto rutina vám pomôže načítať a uvoľniť ovládač filtra systému súborov bez toho, aby ste museli reštartovať. Napriek tomu sa tento ovládač dá skutočne vyložiť iba na účely ladenia, pretože nie je možné bezpečne odstrániť filtre systému súborov. Neodporúča sa vykonávať vykladanie v produkčnom kóde.

// // DriverEntry - Vstupný bod ovládača NTSTATUS DriverEntry (__ inout PDRIVER_OBJECT DriverObject, __in PUNICODE_STRING RegistryPath) (... // // Nastaviť rutinu uvoľnenia ovládača (iba na účely ladenia). // DriverObject-> DriverUnload = FsFilterUnload; vrátiť STATUS_SUCCESS;)

Implementácia uvoľnenia ovládača súborového systému

Rutina vykládky vodiča vyčistí zdroje a uvoľní ich. Ďalším krokom vo vývoji ovládača súborového systému je zrušenie registrácie oznámenia o zmenách systému súborov.

// // // Uvoľnenie rutiny VOID FsFilterUnload (__ v PDRIVER_OBJECT DriverObject) (... // // Neregistrovaná rutina spätného volania pre zmeny systému súborov. // IoUnregisterFsRegistrationChange (DriverObject, FsFilterNotificationCallback); ...)

Po zrušení registrácie oznámenia by ste mali prejsť vytvorenými zariadeniami a odpojiť ich a odstrániť. Potom počkajte päť sekúnd, kým sa nedokončia všetky zostávajúce IRP. Všimnite si toho, že toto je riešenie iba pre ladenie. Funguje to vo väčšom počte prípadov, ale nie je zaručené, že to bude fungovať vo všetkých.

// // // Uvoľnenie rutiny VOID FsFilterUnload (__ v PDRIVER_OBJECT DriverObject) (... for (;;) (IoEnumerateDeviceObjectList (DriverObject, devList, sizeof (devList), & numDevices); if (0 == numDevices) (break;) numDevices min (numDevices, RTL_NUMBER_OF (devList)); for (i = 0; i< numDevices; ++i) { FsFilterDetachFromDevice(devList[i]); ObDereferenceObject(devList[i]); } KeDelayExecutionThread(KernelMode, FALSE, &interval); } }

IrpDispatch.c

Expedičný priechod

Jedinou zodpovednosťou tohto obsluhy IRP je postúpiť požiadavky ďalšiemu vodičovi. Ďalší objekt ovládača je uložený v rozšírení nášho zariadenia.

// // Priechod IRP Handler NTSTATUS FsFilterDispatchPassThrough (__ v PDEVICE_OBJECT DeviceObject, __in PIRP IRP) (PFSFILTER_DEVICE_EXTENSION pDevExt = (PFSFILTER_DEVICE_EXTENSION) DeviceObject-> DeviceExtension, IoSkipCurrentIrpStackLocation (IRP), návrat IoCallDriver (pDevExt-> AttachedToDeviceObject, IRP))

Odoslať vytvoriť

Každá operácia vytvorenia súboru vyvolá tento obslužný program IRP. Po uchopení názvu súboru z PFILE_OBJECT ho vytlačíme na výstup ladenia. Potom zavoláme obslužný program odovzdávania, ktorý sme popísali vyššie. Všimnite si, že platný názov súboru existuje v PFILE_OBJECT iba dovtedy, kým sa nedokončí operácia vytvorenia súboru! Existujú aj relatívne otvárania a otvárania pomocou ID. V treťom- strany zdrojov, nájdete v týchto prípadoch ďalšie podrobnosti o získavaní názvov súborov.

// // IRP_MJ_CREATE IRP Handler NTSTATUS FsFilterDispatchCreate (__ v PDEVICE_OBJECT DeviceObject, __in PIRP Irp) (PFILE_OBJECT pFileObject = IoGetCurrentIrpStackLocation (Irp) "DbGet

FastIo.c

Pretože základný súborový systém nemusí implementovať všetky rýchle I / O rutiny, musíme otestovať platnosť tabuľky odoslania rýchlych I / O pre nasledujúci ovládač pomocou nasledujúceho makra:

// Makro na otestovanie, či je manipulačná rutina FAST_IO_DISPATCH platná #define VALID_FAST_IO_DISPATCH_HANDLER (_FastIoDispatchPtr, _FieldName) \ (((_FastIoDispatchPtr)! = NULL) && \ ((_FastIoDISOD) -> _ FieldName! = NULL))

Rýchly prechod I / O

Na rozdiel od požiadaviek IRP, prechod cez požiadavky rýchleho vstupu / výstupu vyžaduje obrovské množstvo kódu, pretože každá funkcia rýchleho vstupu / výstupu má svoju vlastnú sadu parametrov. Nasleduje príklad bežnej prechodovej funkcie:

BOOLEAN FsFilterFastIoQueryBasicInfo (__ v PFILE_OBJECT FileObject, __in BOOLEAN Wait, __out PFILE_BASIC_INFORMATION pufra, __out PIO_STATUS_BLOCK IoStatus, __in PDEVICE_OBJECT DeviceObject) (// // Heslo cez logiku pre tento typ Fast I / O // PDEVICE_OBJECT nextDeviceObject = ((PFSFILTER_DEVICE_EXTENSION) DeviceObject -> DeviceExtension) -> AttachedToDeviceObject; PFAST_IO_DISPATCH fastIoDispatch = nextDeviceObject-> DriverObject -> fastIoDispatch, ak je (VALID_FAST_IO_DISPATCH_HANDLER (fastIoDispatch, FastIoQueryBasicInfo)) (návrat (fastIoDispatch-> FastIoQueryBasicInfo) (FileObject, čakať, pufer, IoStatus, nextDeviceObject)) návrat NEPRAVDA;)

Zariadenie na rýchle odpojenie I / O

Odpojenie zariadenia je špecifická rýchla požiadavka na I / O, ktorú by sme mali zvládnuť bez volania ďalšieho ovládača. Mali by sme odstrániť naše filtračné zariadenie po jeho odpojení od stohu zariadenia systému súborov. Nasleduje príklad kódu, ktorý ukazuje, ako ľahko spravovať túto požiadavku:

VOID FsFilterFastIoDetachDevice (__ v PDEVICE_OBJECT SourceDevice, __in PDEVICE_OBJECT TargetDevice) (// Odpojenie od objektu zväzku zariadenia systému súborov. // IoDetachDevice (TargetDevice); IoDeleteDevice (SourceDevice);

Oznámenie.c

spoločný súborový systém pozostáva z ovládacích zariadení a zariadení na ovládanie hlasitosti. K zväzku úložných zariadení sú pripojené zväzkové zariadenia. Riadiace zariadenie je zaregistrované ako súborový systém.

Spätné volanie sa vyvolá pre všetky aktívne súborové systémy zakaždým, keď sa súborový systém buď zaregistruje alebo zruší registráciu ako aktívny. Je to skvelé miesto na pripojenie alebo odpojenie nášho filtračného zariadenia systému súborov. Keď sa súborový systém sám aktivuje, pripojíme sa k jeho ovládaciemu zariadeniu (ak ešte nie je pripojené) a vytvoríme zoznam jeho zväzkových zariadení a tiež sa k nim pripojíme. Pri deaktivácii systému súborov skúmame jeho zväzok riadiacich zariadení, nájdeme naše zariadenie a odpojíme ho. Odpojenie od zariadení zväzku súborového systému sa vykonáva v rutine FsFilterFastIoDetachDevice, ktorú sme popísali vyššie.

// // Táto rutina sa spustí vždy, keď sa súborový systém buď zaregistruje, alebo // sa neregistruje ako aktívny súborový systém. VOID FsFilterNotificationCallback (__ v PDEVICE_OBJECT DeviceObject, __in BOOLEAN FsActive) (// // Rukoväť pripájania/ odpájania od daného systému súborov. // if (FsActive) (FsFilterAttachToFileSystemDevice (DeviceObject);) elseetbject

AttachDetach.c

Tento súbor obsahuje pomocné rutiny na pripojenie, odpojenie a kontrolu, či je už náš filter pripojený.

Pripevnenie

Aby sme sa mohli pripojiť, musíme zavolať IoCreateDevice, aby sme vytvorili nový objekt zariadenia s rozšírením zariadenia, a potom šíriť vlajky objektu zariadenia z objektu zariadenia, ku ktorému sa pokúšame pripojiť (DO_BUFFERED_IO, DO_DIRECT_IO, FILE_DEVICE_SECURE_OPEN). Potom zavoláme IoAttachDeviceToDeviceStackSafe do slučky s oneskorením v prípade poruchy. Naša požiadavka na prílohu môže zlyhať, ak sa inicializácia objektu zariadenia nedokončila. To sa môže stať, ak sa pokúsime pripojiť filter iba pre zväzky. Po pripojení uložíme objekt zariadenia „pripojené k“ k rozšíreniu zariadenia a vymažeme príznak DO_DEVICE_INITIALIZING. Nasleduje rozšírenie zariadenia:

// // Štruktúry typedef struct _FSFILTER_DEVICE_EXTENSION (PDEVICE_OBJECT AttachedToDeviceObject;) FSFILTER_DEVICE_EXTENSION, * PFSFILTER_DEVICE_EXTENSION;

Odpojenie

Odpojenie je pomerne jednoduché. Z rozšírenia zariadenia dostaneme zariadenie, ku ktorému sme sa pripojili a potom zavoláme na IoDetachDevice a IoDeleteDevice.

neplatné FsFilterDetachFromDevice (__ v PDEVICE_OBJECT DeviceObject) (PFSFILTER_DEVICE_EXTENSION pDevExt = (PFSFILTER_DEVICE_EXTENSION) DeviceObject-> DeviceExtension; IoDetachDevice (pDevoExt-) Attached

Kontrola, či je naše zariadenie pripojené

Ak chcete skontrolovať, či sme k zariadeniu pripojení alebo nie, musíme iterovať zásobník zariadení pomocou nástrojov IoGetAttachedDeviceReference a IoGetLowerDeviceObject, potom tam vyhľadajte naše zariadenie. Naše zariadenie môžeme identifikovať porovnaním objektu ovládača zariadenia s objektom nášho ovládača (g_fsFilterDriverObject).

// // Rôzne BOOLEAN FsFilterIsMyDeviceObject (__ v PDEVICE_OBJECT DeviceObject) (vrátiť DeviceObject-> DriverObject == g_fsFilterDriverObject;)

Zdroje a makefile

Tento nástroj vytvára ovládač, používa zdroje a súbory makefile. Tieto súbory obsahujú nastavenia projektu a názvy zdrojových súborov.

Obsah súboru zdrojov:

TARGETNAME = FsFilter TARGETPATH ​​= obj TARGETTYPE = DRIVER DRIVERTYPE = ZDROJE FS = \ Main.c \ IrpDispatch.c \ AttachDetach.c \ Notification.c \ FastIo.c

Makefile je štandardný:

Zahrnúť $ (NTMAKEENV) \ makefile.def

Príkazový riadok zostavenia projektu MSVC makefile je:

Zavolajte $ (WINDDK) \ bin \ setenv.bat $ (WINDDK) chk wxp cd / d $ (ProjectDir) build.exe –I

Ako nainštalovať ovládač filtra systému súborov

Prehľad SC.EXE

Na správu nášho ovládača použijeme sc.exe (sc - ovládanie služby). Tento nástroj príkazového riadka môžeme použiť na dotazovanie alebo úpravu databázy nainštalovaných služieb. Dodáva sa so systémom Windows XP a novším, alebo ho nájdete v súprave Windows SDK / DDK.

Nainštalujte ovládač filtra systému súborov

Ak chcete nainštalovať ovládač filtra systému súborov, zavolajte:

Vytvorte typ FsFilter = filesys binPath = c: \ FSFilter.sys

Tým sa vytvorí nový záznam služby s názvom FsFilter s typom služby súborového systému a binárnou cestou c: \ FsFilter.sys.

Spustite ovládač filtra systému súborov

Ak chcete spustiť ovládač filtra systému súborov, zavolajte:

Začnite FsFilter

Spustí sa služba FsFilter.

Zastavte ovládač systému súborov

Ak chcete zastaviť ovládač filtra systému súborov, zavolajte:

Sc stop FsFilter

Služba FsFilter bude zastavená.

Odinštalujte ovládač filtra systému súborov

Ak chcete odinštalovať ovládač filtra systému súborov, zavolajte:

Vymažte FsFilter

Tento príkaz dáva správcovi služby pokyn, aby odstránil záznam služby s názvom FsFilter.

Výsledný skript

Všetky tieto príkazy môžeme vložiť do jedného dávkového súboru, aby bolo testovanie ovládačov jednoduchšie. Nasleduje obsah nášho príkazového súboru Install.cmd:

Sc create FsFilter type = filesys binPath = c: \ FsFilter.sys sc start FsFilter pause sc stop FsFilter sc delete FsFilter pause

Spustenie ukážky ovládača filtra systému súborov

Teraz si ukážeme, ako funguje filter systému súborov. Na tento účel použijeme Sysinternals DebugView pre Windows na monitorovanie výstupu ladenia, ako aj strom zariadení OSR na zobrazenie zariadení a ovládačov.

Najprv zostavme ovládač. Potom skopírujeme výsledný súbor FsFilter.sys a skript Install.cmd do koreňa jednotky C.

Ovládač filtra systému súborov a inštalačný skript na jednotke C.

Teraz spustíme Install.cmd, ktorý nainštaluje a spustí ovládač systému súborov a potom počká na zadanie od používateľa.

Ovládač filtra systému súborov bol úspešne nainštalovaný a spustený.

Teraz by sme mali spustiť nástroj DebugView.

Konečne vidíme, aké súbory boli otvorené! To znamená, že náš filter funguje. Teraz by sme mali spustiť nástroj stromu zariadení a nájsť tam náš ovládač.

Náš ovládač filtra v strome zariadení.

Náš ovládač vytvoril rôzne zariadenia. Otvorme ovládač NTFS a pozrime sa na strom zariadení:

Náš filter je pripojený k systému NTFS.

Teraz sme pripojení. Pozrime sa na ďalšie súborové systémy:

Náš filter je pripojený aj k iným súborovým systémom.

Nakoniec môžeme stlačením ľubovoľného klávesu pokračovať v inštalačnom skripte, zastaviť a odinštalovať ovládač.

Náš ovládač filtra systému súborov bol zastavený a odinštalovaný.

Stlačením klávesu F5 obnovíte zoznam stromov zariadení:

Naše filtračné zariadenia sa už nenachádzajú v strome zariadení.

Náš ovládač filtra systému súborov zmizol a systém beží rovnako ako predtým.

Stále pokročilejšie

Vyššie popísaný ovládač filtra filtra systému súborov je veľmi jednoduchý a chýba mu množstvo funkcií, ktoré vyžaduje bežný ovládač. Cieľom tohto článku bolo ukázať najľahší spôsob vytvorenia ovládača filtra systému súborov, a preto sme popísali tento jednoduchý a zrozumiteľný vývojový proces. Môžete napísať vlastného obslužného programu IRP_MJ_FILE_SYSTEM_CONTROL na sledovanie novo prijatých zväzkov.

A bez toho, aby ste čakali na pokračovanie, ktoré ste sľúbili, As, rozhodol som sa nezávisle nainštalovať tento antivírusový program na svoj domáci počítač, ale narazil som na niekoľko nejasností. Inštalačný program stiahol tento program na oficiálnu webovú stránku www.avast.com/ru, potom ho nainštaloval do svojho domáceho počítača a ukázalo sa, že je stále potrebné ho zaregistrovať. Vyrovnal som sa s tým, teraz nemôžem zistiť nastavenia. Konkrétne ma zaujíma funkcia Sandbox alebo sandbox, veľa ľudí o tom teraz hovorí, je to akési virtuálne prostredie, v ktorom môžete spustiť akýkoľvek podozrivý program bez strachu, že by ste v prípade niečoho nakazili celý systém. Je to teda v nastaveniach, ale nerozumiem, či to funguje alebo nie. A stále nemôžem nájsť takú užitočnú funkciu ako Skenovať pri štarte, hovoria, že je to veľmi dobrý prostriedok pre bannery s ransomware, a ak je zapnutý, Avast pred načítaním samotného systému Windows skontroluje zavádzacie súbory. Bol by som vďačný za akúkoľvek pomoc. Maksim.

Ako nainštalovať bezplatný antivírus Avast

Tento článok je napísaný ako pokračovanie článku Ktorý antivírus je najlepší, kde sme roztriedili otázku, na akom princípe si prakticky všetky antivírusové produkty, platené aj bezplatné, budujú ochranu. Ako sa od seba líšia, ako aj oveľa viac, napríklad ako si najlepšie vybudovať obranu domáci počítač z vírusov a ktoré programy okrem antivírusu by sa na to mali použiť. Tu zvážime otázku, ako sťahovať a Inštalácia bezplatný antivírus Avast... Analyzujeme základné nastavenia programu, jeho údržbu, skenovanie vírusov atď.

Poznámka: Priatelia, ak chcete z akéhokoľvek dôvodu odstrániť antivírusový program Avast, použite. Dobrý prehľad platených a bezplatných antivírusov na vás čaká v našom článku „“

V zásade je ochrana nášho antivírusového programu Avast postavená na veľmi výkonnej ochrane Resident Protection. To sa deje pomocou druhu obrazovky. Inými slovami, programové moduly sú neustále prítomné v pamäti RAM a monitorujú všetko, čo sa deje v počítači.
Napríklad obrazovka systému súborov je hlavným nástrojom ochrany a monitoruje všetky operácie, ktoré sa vyskytujú s vašimi súbormi. Firewall monitoruje aktivitu siete a zastavuje vírusy pokúšajúce sa dostať cez internet. Obrazovka pošty - nasleduje e-mailom a prirodzene kontroluje všetky písmená, ktoré vám prídu do počítača. Ďalší program Avast má pomerne pokročilú heuristickú analýzu, účinnú proti rootkitom.

Toto je bezplatný antivírus pre vás!

Pred inštaláciou AVAST! Bezplatný antivírus, Mali by ste vedieť, že ho môžete používať iba doma. Antivírus si môžete stiahnuť na webovej stránke www.avast.com/ru... Ak máte nejaké problémy so sťahovaním antivírusu Avast, stiahnite si ho na oficiálnej stránke distribútora „Avsoft“ na:

www.avsoft.ru/avast/Free_Avast_home_edition_download.htm
Náš antivírus si stiahneme na oficiálnom webe
www.avast.com/ru-ru/free-antivirus-download. Prosím vyber Bezplatný antivírus a kliknite na tlačidlo stiahnuť,

v zobrazenom okne Welcome Avast Free Antivirus kliknite na tlačidlo Prevziať teraz.

Po stiahnutí spustite inštalátor programu. Od siedmej verzie je na výber medzi bežnou inštaláciou a inštaláciou ako druhého antivírusu. Ak máte nainštalovaný Kaspersky ako prvý antivírus, je možný konflikt.

Môžete si vybrať expresnú inštaláciu.

Ak potrebujete prehliadač Google chrome, začiarknite políčko. Inštalácia prebieha do jednej až dvoch minút.
Inštalácia dokončená. Stlačíme pripravené.

Mnoho ľudí, ktorí sú v hlavnom okne programu, je prekvapených, že antivírus AVAST je potrebné zaregistrovať, ale je to tak. Registrácia je veľmi jednoduchá. Kliknutím sa zaregistrujete.

Výber základnej ochrany AVAST! Bezplatný antivírus.

Vyplňujeme veľmi jednoduchý formulár. Stlačíme registráciu a získame bezplatnú licenciu.

Naša verzia antivírusu je zaregistrovaná, podobný list bude odoslaný do schránky.

Ihneď nám bude ponúknuté dočasné prepnutie na verziu Internet Security na 20 dní. Po uplynutí tejto lehoty sa môžete podľa potreby vrátiť k bezplatnej bezplatnej verzii alebo si kúpiť verziu Internet Security. S čím by ste museli porovnať, najskôr použite verziu AVAST! Bezplatný antivírus môžete kedykoľvek aktualizovať na platenú verziu. Kliknite na kríž v pravom hornom rohu a zatvorte toto okno.

Po 365 dňoch sa budete musieť znova zaregistrovať a je to. Ako vidíte, stiahnutie a inštalácia bezplatného antivírusu Avast nie je v zásade ťažké a nie je ťažké ho zaregistrovať.

Môžete povedať, že všetko je veľmi pohodlné a zrozumiteľné, všetky ovládacie prvky zvládne aj začiatočník. Teraz, priatelia, pozornosť, program je v predvolenom nastavení nakonfigurovaný veľmi dobre, ale existujú niektoré nastavenia, ktoré si zaslúžia vašu pozornosť. Avast sa aktualizuje automaticky, zvyčajne bezprostredne po zapnutí počítača a spustení operačného systému.

Ak chcete, môžete si kedykoľvek skontrolovať, či sú na oficiálnych webových stránkach k dispozícii aktualizácie. Vyberte položku Aktualizačný softvér údržby. Môžete tiež aktualizovať modul antivírusovej kontroly a detekcie.

Existuje niekoľko spôsobov, ako skontrolovať počítač na prítomnosť vírusov. Kliknite na tlačidlo Naskenujte počítač... A napríklad vyberte požadovanú možnosť
Expresné skenovanie- Budú sa kontrolovať spúšťacie objekty a všetky oblasti oddielu operačného systému, kde sa zvyčajne nachádzajú hniezda vírusov.
Úplné skenovanie počítača(Bez komentára)
Skenovanie vymeniteľných médií- skenujú sa vaše flash disky, pevné disky USB a podobne
Vyberte priečinok, ktorý chcete skenovať, sami si vyberiete priečinok na kontrolu vírusov.

Alebo môžete pravým tlačidlom myši kliknúť na ľubovoľný priečinok a v rozbaľovacej ponuke vybrať položku Skenovať a tento priečinok budú skontrolované na prítomnosť vírusov.

Skenovanie pri načítaní OS. Ak napríklad musíte dlho surfovať po internete, môžete pri ďalšom spustení systému povoliť kontrolu zavádzacích súborov vopred. Avast skontroluje všetky súbory súvisiace s bežným načítaním systému, pričom obíde samotný Windows, osobne som si okrem Avastu takú funkciu nikde nevšimol. Veľmi dobrý nástroj, ktorý pomáha proti bannerom s ransomvérom, aj keď nie v 100% prípadov.

Okno Avast antivirus pred hlavným spustením systému Windows.

Automatické pieskovisko (" AutoSandbox"). Spúšťa podozrivé aplikácie vo virtuálnom prostredí, ktoré je prirodzene oddelené od normálneho systému. V našej bezplatnej verzii AVAST! Bezplatný antivírus, spustia sa iba tie aplikácie, ktoré Avast považuje za podozrivé, ak sa program ukáže ako škodlivý, okno programu sa jednoducho zatvorí. Platené verzie programu AVAST! Pro Antivirus a AVAST! Internet Security, v tomto prostredí môžete ľubovoľne spúšťať ľubovoľné aplikácie.

Blokovanie určitých webových stránok podľa ich adresy. Túto funkciu môžete použiť ako nástroj rodičovskej kontroly.

Všetko ostatné je k dispozícii v okne Živé obrazovky a okno nastavenie... Môžeme povedať, že bežný používateľ by mal byť spokojný s predvolenými nastaveniami, ak niečomu nerozumiete, napíšte.

Windows Filesystem Filter Manager alebo Windows File System Filter Manager je proces, ktorý sa inštaluje s príponou systémového súboru fltmgr.sys. Tento proces je základnou súčasťou operačného systému Windows Systém a by nemali byť ukončené alebo by nemalo byť povolené ich spustenie pri každom načítaní systému Windows počas spustenia. Súbor má hlavnú zodpovednosť za zaistenie toho, aby všetky súbory, ktoré budú nainštalované v počítači, boli uložené v ich správnych adresároch. Ak tento súbor chýba alebo je poškodený, s najväčšou pravdepodobnosťou sa zobrazí modrá obrazovka smrti; ako majú skúsenosti používatelia. V iných prípadoch sa systém Windows nenačíta úplne. Samotné reštartovanie problém nevyrieši, ak súbor skutočne chýba alebo sa nedá nájsť pri spustení. Chyba sa bude zobrazovať, kým sa problém nevyrieši. Súbor fltmgr.sys, ktorý je kompatibilný so systémom Windows XP alebo Windows 7, má približnú veľkosť 124 800 bajtov. Súbor je uložený v systémovom adresári vášho operačného systému.

Ako môžem zastaviť súbor fltmgr.sys a mal by som?

Väčšinu spustených nesystémových procesov je možné zastaviť, pretože nie sú súčasťou spustenia vášho operačného systému. fltmgr.sys... používa Microsoft Windows, Ak vypnete fltmgr.sys, pravdepodobne sa znova spustí neskôr, a to buď po reštartovaní počítača, alebo po spustení aplikácie. Prestať fltmgr.sys, natrvalo musíte odinštalovať aplikáciu, ktorá spúšťa tento proces, čo v tomto prípade je Microsoft Windows, z vášho systému.

Po odinštalovaní aplikácií je vhodné prehľadať register Windows, či v ňom nie sú nejaké stopy aplikácií. Register Reviver od ReviverSoft je na to skvelý nástroj.

Je to vírus alebo iné bezpečnostné riziko?

Verdikt zabezpečenia ReviverSoft

Prečítajte si fltmgr.sys a pošlite mi upozornenie, akonáhle bude
bolo preskúmané.

Čo je to proces a ako ovplyvňujú môj počítač?

Proces obvykle je súčasťou nainštalovanej aplikácie, ako napr Microsoft Windows alebo váš operačný systém, ktorý je zodpovedný za fungovanie funkcií danej aplikácie. Niektoré aplikácie vyžadujú, aby mali procesy neustále spustené, aby mohli vykonávať napríklad kontrolu aktualizácií alebo vás upozorniť na prijatie okamžitej správy. Niektoré zle napísané aplikácie majú mnoho spustených procesov, ktoré nemusia byť potrebné a zaberajú cenný výpočtový výkon vo vašom počítači.

Je fltmgr.sys známy ako škodlivý pre výkon môjho počítača?

Nedostali sme žiadnu sťažnosť na tento proces, ktorý by mal na výkon počítača vyšší než normálny vplyv. Ak s tým máte zlé skúsenosti, dajte nám vedieť v komentári nižšie a my to ďalej vyšetríme.