zyn 发表于 2020-5-4 19:39:48

看一下

Cloutain 发表于 2020-5-4 20:00:34

看看有哪些坑

a1678131758 发表于 2020-5-14 15:54:06

瞅瞅               

bianxia 发表于 2020-6-16 09:04:40

学习一波

flappy 发表于 2020-8-6 00:09:35

谢谢楼主

616152467 发表于 2020-8-11 19:53:58

感谢分享

Sumail1999 发表于 2020-8-13 16:11:09

学习知识

Kshom 发表于 2020-10-29 16:21:48

感谢分享

kanren 发表于 2020-11-9 15:33:14

貌似有点意思的样子

一直小菜鸡 发表于 2020-11-21 01:03:24

感谢分享

扫地传人 发表于 2020-12-31 05:28:13

感谢您的分享

heiqishi814 发表于 2021-1-3 00:47:44

谢谢分享。。

HJonny 发表于 2021-1-15 23:34:14

感谢分享啊

年少时的猛犸 发表于 2021-1-16 09:20:43

感谢分享,学习一下

mmlai8 发表于 2021-1-17 06:11:44

感谢分享!

ballmillsap 发表于 2021-2-2 17:13:23

感谢分享

Tizi 发表于 2021-2-7 17:24:58


感谢您的分享

你与明日 发表于 2021-3-24 14:47:16

谢谢分享,最近搞filter踩了很多坑,看看楼主怎么写的

wgy0323 发表于 2021-4-16 14:41:00

感谢分享!

ttff 发表于 2021-5-4 16:12:01

感谢分享

maktom 发表于 2021-6-18 16:34:03

xuexi

kernel_test 发表于 2021-8-3 10:59:12

瞅瞅看看看

IBinary 发表于 2022-11-30 17:10:41

想通信设置Minifilter卸载. 而不提供卸载回调是不是不行....

Tesla.Angela 发表于 2022-12-2 13:41:02

IBinary 发表于 2022-11-30 17:10
想通信设置Minifilter卸载. 而不提供卸载回调是不是不行....

对。

即使是普通驱动,如果你把DriverUnload例程设置为NULL,那么都无法被ZwUnloadDriver卸载。

IBinary 发表于 2022-12-3 18:47:18

Tesla.Angela 发表于 2022-12-2 13:41
对。

即使是普通驱动,如果你把DriverUnload例程设置为NULL,那么都无法被ZwUnloadDriver卸载。 ...

谢谢解惑.最近遇到个问题就是 minifilter如果不设置unload域.也无法被卸载. . 如果服务stop的时候会先调用到 minifilter的unload 如果没设置就不会走. 如果设置了DriverUnload那么先走minifilter的unload再走Drverunload.
我在DriverUnload中主动调用了一下 fltUnload.(关闭port 关闭client 关闭句柄) 然后驱动服务就先是 stop_pending... win7会显示. win10没事. 但还是显示服务占用. 恼火.

IBinary 发表于 2022-12-3 18:49:30

IBinary 发表于 2022-12-3 18:47
谢谢解惑.最近遇到个问题就是 minifilter如果不设置unload域.也无法被卸载. . 如果服务stop的时候会先调 ...

我的需求就是 不支持驱动卸载,而通过用户发控制码下来.然后在设置DriverUnload域.这时候才能被卸载.
用VS直接生成Minifilter框架. DriverUnload主动设置为NULL. minifilter也设置为NULL. 驱动就不支持卸载了.
然后后面又设置上DriverUnload. 是可以被卸载了. 很坑....(老驱动是wdk7600)

Tesla.Angela 发表于 2022-12-5 21:54:24

IBinary 发表于 2022-12-3 18:47
谢谢解惑.最近遇到个问题就是 minifilter如果不设置unload域.也无法被卸载. . 如果服务stop的时候会先调 ...

FltUnload和DriverUnload是回调函数,不意味着你自己调用了这两个回调函数,驱动就能被卸载。而是驱动在被卸载的时候,系统会调用你写的这两个函数(以便你执行一些清理操作)。

如果你要在驱动里卸载驱动,应该调用FilterUnload或者ZwUnloadDriver。

如果别人给你的驱动设置了FltUnload和DriverUnload回调函数,别人也可以卸载你的驱动(只不过是否蓝屏就不好说了)。

eudihai 发表于 2023-11-25 20:58:28


坐沙发,感谢您的分享!!

376408384 发表于 2023-11-28 11:02:18

我来学习

Undefined 发表于 2024-2-16 11:53:56

先学习一下

wst5898 发表于 2025-1-31 10:39:29

感谢楼主出了这么多的避坑帖子,好好学习
页: 1 [2]
查看完整版本: TP的踩坑实录:MiniFilter的卸载问题