WinXp文件过滤驱动入门-建立框架.doc

Windows XP文件系统过滤驱动程序入门 ——建立框架 微笑的撒旦(william.xue@) 2007-7-6 万事开头难，新手写一个，更难！其实走过之后回头再看，却是简单。 这篇文章的目标，是希望可以通过结合代码的方式，向初学者阐述一些必要的细节。只是试图领大家跨过一个门槛，至于今后的成就，就看个人的修行了。 为求简单，我们将要讲的驱动，仅仅只是针对Windows XP系统如何兼容Windows 2000等系统，算入后来目标之中，在次不涉及。 1. 控制设备对象（control device object） 这个东西，就是由你的driver创建出来的device object，它在设备堆栈中代表了你的驱动程序——或者说，代表了你的驱动程序所对应的设备（其实它没有什么实际的设备，它只是个过滤型驱动而已可是哪怕是过滤型驱动，也得在设备堆栈中占个位置） 在DriverEntry中，通过如下的代码创建一个control device object： // // create the control device object // RtlInitUnicodeString(sz_name_string, L\\FileSystem\\Filters\\RedirectCDO); PDEVICE_OBJECT p_filter_ctrl_dev_obj = NULL; // create the device object for the driver object // this is only the control device object. status = IoCreateDevice(DriverObject, // driver object NULL, // device extension size sz_name_string, // device name FILE_DEVICE_DISK_FILE_SYSTEM, // device type FILE_DEVICE_SECURE_OPEN, // device characteristics FALSE, // exclusive p_filter_ctrl_dev_obj); // device object if (STATUS_OBJECT_PATH_NOT_FOUND == status) { return status; } \\FileSystem\\Filters\\是Windows XP的文件系统过滤驱动所在的路径，RedirectCDO是 2. 文件系统和卷 试图写的人，平时日常应用中，不会搞混这两个概念但是在刚开学习，实际看代码的时候却不大会注意到。一堆的DO (Device Object)，搞不清谁是谁。 两个东西：其一是文件系统；其二是卷。 3. 如何挂入文件系统（how to attach the filter driver to filesystem） 这个地方的文件系统，又分为两种情况： 其一，文件系统已经加载；其二，文件系统尚未加载。 比如说，你的Windows XP启动完了，文件系统都是NTFS的。然后你安装了你的filter driver。现在你又把其中的一个分区格式化成了FAT32的…… 你当然想既能找到已经存在的NTFS，又能接到FAT32加入的通知。这个简单的想法，实现起来却不是那么简单。呃，我是说，Windows XP实现起来相对简单，而Windows 2000，我们就不管它了——这也是我为什么选Windows XP做例子的原因，简单嘛！ Windows XP下有一个函数，IoRegisterFsRegistrationChange，调用它，既能枚举已经安装的文件系统，又能在有新的文件系统加入的时候通知调用者。（Windows 2000下，这个函数只有后半段的功能。Windows 2000 SP4下，可以使用IoRegisterFsRegistrationChangeEx，有和Windows XP下相同效果。） status = IoRegisterFsReg