原理

Sfilter框架是基於NT驅動框架之上通過裝置棧繫結的形式繫結的，驅動自己生成一個裝置（過濾裝置物件），呼叫系統提供的繫結API，繫結到目標裝置上。並返回一個在未繫結之前目標裝置所在裝置棧的最頂層裝置。這樣發往下層的IRP或者發往上層的資料都會被過濾裝置截獲。

移動裝置連結到系統中時系統會為其生成一個檔案系統裝置，然後系統會向檔案系統裝置傳送mount IRP，檔案系統裝置接收到IRP後會動態生成卷裝置物件【碟符】

如果要監控移動裝置卷裝置物件，首先要先生成過濾裝置物件繫結到移動裝置的檔案系統裝置物件上攔截mount IRP請求，之後在該IRP內生成過濾裝置物件繫結到卷裝置物件上【兩次繫結操作】

IoRegisterFsRegistrationChange函式可註冊一個動態監控移動裝置物件插入時生成檔案系統裝置物件的回撥函式

關於固定的卷裝置物件可直接通過函式一一枚舉出來，然後依次生成過濾裝置物件繫結上去即可。

實現

函式主流程

首先建立控制裝置和符號連結用於與R3客戶端通訊。然後註冊過濾分發函式【內部對客戶端IRP和其他程序IRP分開處理】

分配一個Fastio結構體大小的記憶體，然後對其內部初始化Fastio的操作函式【內部全部返回False，不新增會有問題，只需要簡單的禁用處理即可】之後將該結構體註冊到DriverObject->FastIoDispatch中。

接下來通過IoRegisterFsRegistrationChange註冊監控檔案系統裝置建立的回撥函式。函式內判斷裝置插入時，生成過濾裝置物件繫結到對應的檔案系統裝置物件上【通過判斷系統版本使用繫結函式】用來監控mount IRP【回撥函式參1為監控到到檔案系統裝置物件，參2為bool值表示檔案系統是插入還是拔掉。函式內建立的過濾裝置物件會和檔案系統裝置物件通訊方式一樣(通過依次判斷的方式實現)】

當監控到發往檔案系統裝置上的mount IRP時就會呼叫Sfilter中指定的分發函式【IRP分發函式中的IRP_MJ_FILE_SYSTEM_CONTROL】函式內部會生成過濾裝置物件繫結到對應的卷裝置物件上【IRP->MinorFunction(次功能號)為IRP_MN_MOUNT_VOLUME(mount)時就呼叫定義的附加函式。函式內部生成了過濾裝置物件，由於卷裝置物件要等mount下發到檔案裝置物件後才能建立，所以要用IoSetCompletionRoutine為mount設定一個完成例程然後用IoCallDriver下發。之後等待例程完成然後從檔案裝置物件裝置擴充套件中拿到卷裝置物件之後作為繫結引數繫結(xp前的版本使用工作者執行緒繫結，原因是mount會提升IRQL)】

FileMon函式中通過列舉26個碟符，開啟檔案獲取FileObject->DeviceObject，通過驅動生成過濾裝置繫結到DeviceObjec上【無法監控動態載入的移動裝置】

fastio時Cache manager【快取管理】的一部分，必須為DriverObject撰寫一組函式，函式指標在driver->FastIoDispatch裡，函式內部不作處理簡單的返回False即可。

分發函式處理細節
函式中共有兩個過濾驅動裝置，根據R3客戶裝置和卷裝置的過濾裝置分別編寫處理流程。IS_MY_CONTROL_DEVICE_OBJECT巨集可判定是否為控制裝置，IS_MY_DEVICE_OBJECT巨集可判定是否為過濾裝置

然後通過sfDebug的標誌判斷過濾過程中所需要抓取的資訊【儲存在登錄檔中，DriverEntry中有從登錄檔獲取的操作】不需要抓取則會直接IoSkipCurrentIrpStackLocation放行IRP並用IoCallDriver下發。否則分配記憶體空間呼叫NLGetFullPathName獲取檔名稱，然後呼叫IoCopyCurrentIrpStackLocationToNext將當前IRP棧拷到下一層IRP棧上，建立事件後IoSetCompletionRoutine設定完成例程，並用IoCallDriver下發。等待完成例程修改事件後將檔名稱打印出來。

最後通過IRP下發結果繼續處理並完成。一般IoCallDriver下發之後就不能對IRP進行操作了【不再關心，否則藍屏】，但通過設定完成例程並讓完成例程返回STATUS_MORE_PROCESSING_REQUIRED可以通知IO管理器在底層處理完IRP後不去銷燬。而上層【即本層】呼叫IoCopyCurrentIrpStackLocationToNext拷貝棧並通過IoCallDriver下發後等待完成例程更改的事件狀態繼續執行，最後在本層結束IRP。通過該方法可在下發IRP後繼續對IRP進行處理

注意
檔名稱只有在建立檔案時是可靠的，所以獲取檔名稱操作只能在Create分發函式中做。

過濾驅動IRP處理方式有三種：
1.通過IoCopyCurrentIrpStackLocationToNext+完成例程+IoCallDriver等待處理完成
2.通過IoSkipCurrentirpStackLocation+IoCallDriver忽略直接下發。下層裝置拿到的棧和當前棧一樣【該函式會將棧指標++操作，IoCallDriver會對棧指標–操作】
3.通過IoGetCurrentirpStackLocation獲取當前棧然後設定irp的IoStatus中的Status【成功STATUS_SUCCESS或失敗STATUS_ACCESS_DENIED】和Information【操作位元組數】最後通過IoCompleteRequest結束IRP停止下發

繫結API：
IoAttachDevice()
IoAttachDeviceToDeviceStackSafe(2000 SP4以及XP以上)
IoAttachDeviceToDeviceStack()

PDEVICE_OBJECT //返回該函式繫結前最頂層的裝置物件
IoAttachDeviceToDeviceStack(
IN PDEVICE_OBJECT  SourceDevice,//指定裝置物件
IN PDEVICE_OBJECT  TargetDevice //目標裝置物件
);//該函式將指定裝置物件繫結到目標裝置物件上，使用時注意儲存原頂層裝置物件用於處理後下發

基於Sfilter的HIPS放行規則

IRP過濾函式規則
FilterCreate：該函式內攔截檔案的建立和開啟，而且要在該檔案內獲取檔案的全路徑
FilterRead：主防中不攔截，加解密時需要攔截
FilterWrite：函式內攔截修改，加解密時需要攔截
FileterSetInfo：函式內攔截刪除和重新命名
FilterClose：讀關閉一般不攔截
FilterClean：函式內攔截寫關閉【重新掃描檔案防止多次寫入，Sfilter無法判斷讀關閉或寫關閉】

其他規則
放行核心請求：通過Irp->RequestorMode==KernelMode識別
放行本程序請求：通過FilterDeviceloctrl中使用PsGetCurrentProcessId獲取PID識別
放行系統程序請求：通過DriverEntry中使用PsGetCurrentProcessId獲取PID識別【DriverEntry運行於系統上下文】
IRQL大於APC級別：KeGetCurrentIrql()>APC_LEVEL

放行使用IoSkipXXX+IoCallDriver方式即可

其他

Deubug除錯過濾驅動時可使用以下命令：
!devobj 檢視裝置物件資訊
!drvobj 檢視驅動物件資訊
!devstack 檢視裝置棧
!devnode 0 1 系統裝置樹

程式碼

//