5.4.1 EvtDriverDeviceAdd的定义 104 5.4.2 局部变量的声明 105 5.4.3 磁盘设备的创建 105 5.4.4 如何处理发往设备的请求 107 5.4.5 用户配置的初始化 108 5.4.6 链接给应用程序 110 5.4.7 小结 111 5.5 FAT12/16磁盘卷初始化 111 5.5.1 磁盘卷结构简介 111 5.5.2 Ramdisk对磁盘的初始化 113 5.6 驱动中的请求处理 119 5.6.1 请求的处理 119 5.6.2 读/写请求 120 5.6.3 DeviceIoControl请求 122 5.7 Ramdisk的编译和安装 124 5.7.1 编译 124 5.7.2 安装 125 5.7.3 对安装的深入探究 125 练习题 126 第6章 磁盘过滤 127 很多网吧的老板、公司的IT管理部门以及读者自己都很厌恶硬盘总是被病毒和木马搞得一团糟。一些简单的还原软件可以搞定这个问题:重启之后,对硬盘的修改都奇迹般地消失了。这是怎么实现的呢?本章告诉您答案。 6.1 磁盘过滤驱动的概念 128 6.1.1 设备过滤和类过滤 128 6.1.2 磁盘设备和磁盘卷设备过滤驱动 128 6.1.3 注册表和磁盘卷设备过滤驱动 129 6.2 具有还原功能的磁盘卷过滤驱动 129 6.2.1 简介 129 6.2.2 基本思想 130 6.3 驱动分析 130 6.3.1 DriverEntry函数 130 6.3.2 AddDevice函数 132 6.3.3 PnP请求的处理 136 6.3.4 Power请求的处理 140 6.3.5 DeviceIoControl请求的处理 140 6.3.6 bitmap的作用和分析 144 6.3.7 boot驱动完成回调函数和稀疏文件 150 6.3.8 读/写请求的处理 152 6.3.9 示例代码 160 6.3.10 练习题 161 第7章 文件系统的过滤与监控 162 硬盘是硬盘,而文件系统是文件系统,可是有的人总是把它们当做一回事。其实硬盘很简单,硬盘就是一个很简单的保存信息的盒子;而复杂的是文件系统,它很精妙地把简单的数据组织成复杂的文件。作为信息安全的专家,我们当然不能让文件系统脱离我们的控制之外。 7.1 文件系统的设备对象 163 7.1.1 控制设备与卷设备 163 7.1.2 生成自己的一个控制设备 165 7.2 文件系统的分发函数 166 7.2.1 普通的分发函数 166 7.2.2 文件过滤的快速IO分发函数 167 7.2.3 快速IO分发函数的一个实现 169 7.2.4 快速IO分发函数逐个简介 170 7.3 设备的绑定前期工作 172 7.3.1 动态地选择绑定函数 172 7.3.2 注册文件系统变动回调 173 7.3.3 文件系统变动回调的一个实现 175 7.3.4 文件系统识别器 176 7.4 文件系统控制设备的绑定 177 7.4.1 生成文件系统控制设备的过滤设备 177 7.4.2 绑定文件系统控制设备 178 7.4.3 利用文件系统控制请求 180 7.5 文件系统卷设备的绑定 183 7.5.1 从IRP中获得VPB指针 183 7.5.2 设置完成函数并等待IRP完成 184 7.5.3 卷挂载IRP完成后的工作 187 7.5.4 完成函数的相应实现 190 7.5.5 绑定卷的实现 191 7.6 读/写操作的过滤 193 7.6.1 设置一个读处理函数 193 7.6.2 设备对象的区分处理 194 7.6.3 解析读请求中的文件信息 195 7.6.4 读请求的完成 198 7.7 其他操作的过滤 202 7.7.1 文件对象的生存周期 202 7.7.2 文件的打开与关闭 203 7.7.3 文件的删除 205 7.8 路径过滤的实现 206 7.8.1 取得文件路径的3种情况 206 7.8.2 打开成功后获取路径 207 7.8.3 在其他时刻获得文件路径 209 7.8.4 在打开请求完成之前获得路径名 209 7.8.5 把短名转换为长名 211 7.9 把sfilter编译成静态库 212 7.9.1 如何方便地使用sfilter 212 7.9.2 初始化回调、卸载回调和绑定回调 213 7.9.3 绑定与回调 215 7.9.4 插入请求回调 216 7.9.5 如何利用sfilter.lib 218 本章的示例代码 221 练习题 221 第8章 文件系统透明加密 223 如何阻止企业的机密文件被主动泄密,但是又不用关闭网络、禁止U盘等手段重重束缚大家?很多迹象表明,文件系统透明加密是最优的选择。既然从前一章读者已经学会了控制文件系统,那么现在,该是我们摩拳擦掌,用它来保护我们的机密信息的时候了。 8.1 文件透明加密的应用 224 8.1.1 防止企业信息泄密 224 8.1.2 文件透明加密防止企业信息泄密 224 8.1.3 文件透明加密软件的例子 225 8.2 区分进程 226 8.2.1 机密进程与普通进程 226 8.2.2 找到进程名字的位置 227 8.2.3 得到当前进程的名字 228 8.3 内存映射与文件缓冲 229 8.3.1 记事本的内存映射文件 229 8.3.2 Windows的文件缓冲 230 8.3.3 文件缓冲:明文还是密文的选择 232 8.3.4 清除文件缓冲 233 8.4 加密标识 236 8.4.1 保存在文件外、文件头还是文件尾 236 8.4.2 隐藏文件头的大小 237 8.4.3 隐藏文件头的设置偏移 239 8.4.4 隐藏文件头的读/写偏移 240 8.5 文件加密表 241 8.5.1 何时进行加密操作 241 8.5.2 文件控制块与文件对象 242 8.5.3 文件加密表的数据结构与初始化 243 8.5.4 文件加密表的操作:查询 244 8.5.5 文件加密表的操作:添加 245 8.5.6 文件加密表的操作:删除 246 8.6 文件打开处理 248 8.6.1 直接发送IRP进行查询与设置操作 248 8.6.2 直接发送IRP进行读/写操作 250 8.6.3 文件的非重入打开 252 8.6.4 文件的打开预处理 255 8.7 读写加密/解密 260 8.7.1 在读取时进行解密 260 8.7.2 分配与释放MDL 261 8.7.3 写请求加密 262 8.8 crypt_file的组装 265 8.8.1 crypt_file的初始化 265 8.8.2 crypt_file的IRP预处理 266
