Собственно интересует сама схема реализации сервиса (win2k),
который логгировал необходимые сообщения посылаемые драйверу...
к примеру, IRP_MJ_READ и IRP_MJ_DEVICE_CONTROL...
хотелось бы получить от Вас, информациию по данному вопросу,
или ссылки на ресурсы где почитать.
заранее благодарен.
Здравствуйте, alexshl, Вы писали:
A>Собственно интересует сама схема реализации сервиса (win2k), A>который логгировал необходимые сообщения посылаемые драйверу... A>к примеру, IRP_MJ_READ и IRP_MJ_DEVICE_CONTROL... A>хотелось бы получить от Вас, информациию по данному вопросу, A>или ссылки на ресурсы где почитать. A>заранее благодарен.
на сколько я понимаю Вам нужно смотреть в сторону kernel mode filter drivers.
написание фильтра сильно зависит от фильтруемого устройства, какой тип устройств Вас интересует?
файловые системы? драйвера дисков? или что-то еще?
Здравствуйте, _cb_, Вы писали:
__>Здравствуйте, alexshl, Вы писали: __>на сколько я понимаю Вам нужно смотреть в сторону kernel mode filter drivers.
Да. Мне тоже так думается, но поставленная задача — создать сервис. __>написание фильтра сильно зависит от фильтруемого устройства, какой тип устройств Вас интересует?
Я не думаю что это критично в данной ситуации... Скажем (что еще не ясно) есть физическое утсройство, которое
может работать через интерфейсы (что-то одно) LPT или COM портов... Я не могу объяснить назначение устройства по определенным причинам, не зависящим от меня __>файловые системы? драйвера дисков? или что-то еще?
что-то еще... __>cb.
Драйвер написан, необходимо теперь следить за исполнением, для чего и поставленна данная задача.
Просветите пожалуйста! Буду премного благодарен!!!
ЗЫ.
С наступающим НГ. Всех благ и всяческих удач!!!
A> Да. Мне тоже так думается, но поставленная задача — создать сервис.
сервис по определению не может фильтровать что-то что происходит в ядре
сервис может помочь фильтровать Вашему драйверу
__>>написание фильтра сильно зависит от фильтруемого устройства, какой тип устройств Вас интересует? A> Я не думаю что это критично в данной ситуации... Скажем (что еще не ясно) есть физическое утсройство, которое A>может работать через интерфейсы (что-то одно) LPT или COM портов... Я не могу объяснить назначение устройства по определенным причинам, не зависящим от меня
короче говоря Вам нужен монитор событий для какого-то устройства (типа OSR IrpTracker or DevFilter ot ntkernel.com)? А насколько подробно Вам нужно отслеживать, скажем траффик до устройства тоже перехватывать желаете?
__>>файловые системы? драйвера дисков? или что-то еще? A> что-то еще...
скажите хотя бы тип\класс устройства, ибо как сказано выше, к файловым драйверам одна технология прицепа, к Pnp другая и так далее. Если же Вам нужно для любого устройства, боюсь официальных методов "в общем виде" не существует.
__>>cb. A> Драйвер написан, необходимо теперь следить за исполнением, для чего и поставленна данная задача. A>Просветите пожалуйста! Буду премного благодарен!!!
A>ЗЫ. A>С наступающим НГ. Всех благ и всяческих удач!!!
всех с Наступающих и до новых встреч на RSDN
... << RSDN@Home 1.1.2 beta 2 >>
Valery A. Boronin, RSDN Team, linkedin.com\in\boronin
R&D Mgmt & Security. AppSec & SDL. Data Protection and Systems Programming. FDE, DLP, Incident Management. Windows Filesystems and Drivers.
Здравствуйте, Valerio, Вы писали:
V>сервис по определению не может фильтровать что-то что происходит в ядре V>сервис может помочь фильтровать Вашему драйверу
А каким образом?
V>короче говоря Вам нужен монитор событий для какого-то устройства (типа OSR IrpTracker or DevFilter ot ntkernel.com)? А насколько подробно Вам нужно отслеживать, скажем траффик до устройства тоже перехватывать желаете?
Только приход сообщений (READ,WRITE,DEVICE_CONTROL,CLOSE) драйверу, и DRIVER_UNLOAD
V>скажите хотя бы тип\класс устройства, ибо как сказано выше, к файловым драйверам одна технология прицепа, к Pnp другая и так далее. Если же Вам нужно для любого устройства, боюсь официальных методов "в общем виде" не существует. обычный LEGACY_DRIVER
Здравствуйте, alexshl, Вы писали:
A>Здравствуйте, Valerio, Вы писали:
V>>сервис по определению не может фильтровать что-то что происходит в ядре V>>сервис может помочь фильтровать Вашему драйверу A> А каким образом?
пишется драйвер фильтр, который прицепляется к интересуемому драйверу через IoAttachDevice and friends
и вот тут поступающие после этого нужные Вам события можно обслуживать с помощью сервиса (например если надо выполнить какой-то user mode code чтобы принять решение что делать с полученным IRP дальше)
V>>короче говоря Вам нужен монитор событий для какого-то устройства (типа OSR IrpTracker or DevFilter ot ntkernel.com)? А насколько подробно Вам нужно отслеживать, скажем траффик до устройства тоже перехватывать желаете? A>Только приход сообщений (READ,WRITE,DEVICE_CONTROL,CLOSE) драйверу, и DRIVER_UNLOAD
тогда выше
V>>скажите хотя бы тип\класс устройства, ибо как сказано выше, к файловым драйверам одна технология прицепа, к Pnp другая и так далее. Если же Вам нужно для любого устройства, боюсь официальных методов "в общем виде" не существует. A>>обычный LEGACY_DRIVER
A>Может где фрагменты такого кода увидить?
у меня в проектах
... << RSDN@Home 1.1.2 beta 2 >>
Valery A. Boronin, RSDN Team, linkedin.com\in\boronin
R&D Mgmt & Security. AppSec & SDL. Data Protection and Systems Programming. FDE, DLP, Incident Management. Windows Filesystems and Drivers.
Здравствуйте, Valerio, Вы писали: V>пишется драйвер фильтр, который прицепляется к интересуемому драйверу через IoAttachDevice and friends V>и вот тут поступающие после этого нужные Вам события можно обслуживать с помощью сервиса (например если надо выполнить какой-то user mode code чтобы принять решение что делать с полученным IRP дальше)
ясно. Спасибо.
V>тогда выше
а если отслеживать и далее? Я имею в виду следить за ответами драйвера, не только за приходящими сообщениями...
A>>Может где фрагменты такого кода увидить? V>у меня в проектах
А конктретней?
Здравствуйте, alexshl, Вы писали:
A>Здравствуйте, Valerio, Вы писали: V>>пишется драйвер фильтр, который прицепляется к интересуемому драйверу через IoAttachDevice and friends V>>и вот тут поступающие после этого нужные Вам события можно обслуживать с помощью сервиса (например если надо выполнить какой-то user mode code чтобы принять решение что делать с полученным IRP дальше) A>ясно. Спасибо.
V>>тогда выше A>а если отслеживать и далее? Я имею в виду следить за ответами драйвера, не только за приходящими сообщениями...
точно так же — Вы в своем фильтре рано или поздно вызываете предыдущий драйвер в цепочке — соотв можете узнать рез-т его работы
A>>>Может где фрагменты такого кода увидить? V>>у меня в проектах A>А конктретней?
конкретней к сожалению нельзя, NDA и все такое
задавайте лучше конкретные вопросы, попробую ответить, если смогу
... << RSDN@Home 1.1.2 beta 2 >>
Valery A. Boronin, RSDN Team, linkedin.com\in\boronin
R&D Mgmt & Security. AppSec & SDL. Data Protection and Systems Programming. FDE, DLP, Incident Management. Windows Filesystems and Drivers.
