Здравствуйте,
Вопрос по установке мини фильтр драйвера на Windows 7 x86
перечитал много информации, но так и не понял процесс установки
Сам фильтр ничего не делает(вроде HelloWorld проекта), просто выводит информацию о своей загрузке и о запуске функций через DbgPrint
после компиляции проекта у меня присутствуют файлы
myfltr.cat
myfltr.inf
myfltr.sys
Целевая машина загружена с параметром не проверять подпись драйверов
Я пробовал устанавливать этот драйвер через devcon.exe, sc.exe, dpinst.exe и просто правой кнопкой по myfltr.inf -> установить
devcon просто выдает ошибку failed
sc.exe создает службу, но не может ее запустить. Ошибка: не найден файл
dpinst устанавливает драйвер
через .inf файл установка запускается, сообщений об ошибках или об их отсутствии нет
Вопрос в том что я не вижу активности своего фильтра, не могу понять или я не корректно устанавливаю его или использую не тот инструмент для мониторинга фильтра
Для просмотра сообщений от фильтра я использую DbgView
В реестре проставлена ветка
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Debug Print Filter]
"DEFAULT"=dword:0000000f
, так как Windows >= vista подменяют DbgPrint на DbgPrintEx, и надо проставить фильтр для вывода сообщений
Собственно вопрос как правильно установить мини фильтр, как его запустить и как увидеть активность этого фильтра?
R>после компиляции проекта у меня присутствуют файлы R>myfltr.cat R>myfltr.inf R>myfltr.sys
... R>Собственно вопрос как правильно установить мини фильтр, как его запустить и как увидеть активность этого фильтра?
Устанавливать inf-файлом (за эталонный можно взять %DDK_PATH%\src\filesys\miniFilter\minispy\minispy.inf), а стартовать "sc start <...>"
Если в inf-файле указать "StartType = 1 ; SERVICE_SYSTEM_START", то фильтр будет сам стартовать при запуске машины (после перезагрузки).
Здравствуйте, ramzes, Вы писали:
R>Здравствуйте, R>Вопрос по установке мини фильтр драйвера на Windows 7 x86 R>перечитал много информации, но так и не понял процесс установки
R>Собственно вопрос как правильно установить мини фильтр, как его запустить и как увидеть активность этого фильтра?
Недавно ковырялся, была похожая проблема, но у меня был полноценный драйвер и результат установки было видно в DeviceManger'e.
Проблемы было две:
1. Импорт отсутствующих функций (смотреть depends/pe viewier/etc на хосте)
2. Отсутствие сертификата в лоакльном сторедже. Если уже есть настроенная для разработки виртуалка ч-з VisualStudio — не актуальна, она прописывает сертификат.
Здравствуйте, ramzes, Вы писали:
R>Собственно вопрос как правильно установить мини фильтр, как его запустить и как увидеть активность этого фильтра?
C:\windows\system32>fltmc help
Допустимые команды:
load Загружает драйвер фильтра
unload Выгружает драйвер фильтра
filters Выводит список фильтров, зарегистрированных в системе
instances Выводит список экземпляров для фильтра или тома,
зарегистрированного в системе
volumes Выводит список всех томов или RDR в системе
attach Создает экземпляр фильтра для тома
detach Удаляет экземпляр фильтра для тома
