Windows文件系统过滤驱动开发教程

0. 作者，楚狂人自述

我长期网上为各位项目经理充当“技术实现者”的角色。我感觉Windows文件系统驱动的开发能找到的资料比较少。为了让技术经验不至于遗忘和引起大家交流的兴趣我以我的工作经验撰写本教程。

我的理解未必正确，有错误的地方望多多指教。有问题欢迎与我联系。我们也乐于接受各种驱动项目的开发。邮箱为MFC_Tan_Wen@163.com,QQ为16191935。

对于这本教程，您可以免费获得并随意修改，向任何网站转贴。但是不得剽窃任何内容作为任何赢利出版物的全部或者部分。

1. 概述，钻研目的和准备

我经常在网上碰到同行请求开发文件系统驱动。windows的pc机上以过滤驱动居多。其目的不外乎有以下几种：

一是用于防病毒引擎。希望在系统读写文件的时候，捕获读写的数据内容，然后检测其中是否含有病毒代码。

二是用于加密文件系统，希望在文件写过程中对数据进行加密，在读的过程中进行解密。

三是设计透明的文件系统加速。读写磁盘的时候，合适的cache算法是可以大大提高磁盘的工作效率。windows本身的cache算法未必适合一些特殊的读写

磁盘操作（如流媒体服务器上读流媒体文件）。设计自己的cache算法的效果，我已在工作中有所感受。

如果你刚好有以上此类的要求，你可以阅读本教程。

文件系统驱动是windows系统中最复杂的驱动种类之一。不能对ifsddk中的帮助抱太多希望，以我的经验看来，文件系统相关的ddk帮助极其简略， 很多重要的部分仅仅轻描淡写的带过。如果安装了ifsddk，应该阅读src\filesys\OSR_docs下的文档。而不仅仅是ddk帮助。

文件系统驱动开发方面的书籍很少。中文资料我仅仅见过侯捷翻译过的一本驱动开发的书上有两三章涉及，也仅仅是只能用于9x的vxd驱动。NT文件系统我见过一本英文书。我都不记得这两本书的书名了。

如果您打算开发9x或者nt文件系统驱动,建议你去网上下载上文提及的书。那两本书都有免费的电子版本下载。如果你打算开发Windows2000\ WindowsXP\Window2003的文件系统驱动，你可以阅读本教程。虽然本教程仅仅讲述文件系统过滤驱动。但是如果您要开发一个全新的文件系统 驱动的话，本教程依然对你有很大的帮助。

学习文件系统驱动开发之前，应该在机器上安装ifsddk。ddk版本越高级，其中头文件中提供的系统调用也越多。经常有人询问如xpddk编译的驱动能 不能在2000上运行等等的问题。我想可以这样解释：高级版本的ddk应该总是可以编译低级驱动的代码，而且得到的二进制版本也总是可以在低级系统上运 行。但是
反过来就未必可以了。如果在高级系统上编写用于低级系统上的驱动，要非常认真的注意仅仅调用低级系统上有的系统调用。

ifsddk可以在某些ftp上免费下载。

我的使用的是ifs ddk for xp,但是我实际用来开发的两台机器有一台是windows 2000，另一台是windows 2003.我尽量使我编译出来的驱动，可以在2000\xp\2003三种系统上都通过测试。

安装配置ddk和在vc中开发驱动的方法网上有很多的介绍。ifsddk安装之后，src目录下的filesys目录下有文件系统驱动的示例。阅读这些代码你就可以快速的学会文件系统驱动开发。

filter目录下的sfilter是一个文件系统过滤驱动的例子。另一个filespy完全是用这个例子的代码加工得更复杂而已。

如何用ddk编译这个例子请自己查看相关的资料。

文件系统过滤驱动编译出来后你得到的是一个扩展名为sys的文件。同时你需要写一个.inf文件来实现这个驱动的安装。我这里不讨论.inf文件的细节，你可以直接用sfilter目录下的inf文件修改。

对inf文件点鼠标右键弹出菜单选择“安装”，即可安装这个过滤驱动。但是必须重新启动系统才生效。

如果重启后蓝屏无法启动，可以用其他方式引导系统后到system32\drivers目录下删除你的.sys文件再重启即可。我尝试这种情况下用安全模式结果还

是蓝屏。所以我后来不得不在机器上装了两个2000系统。双系统情况下，一个系统崩溃了用另一个系统启动，删除原来的驱动即可。

如果要调试代码，请安装softice.

打开sfilter目录下的文件sources（这个文件没有扩展名），加入一行
BROWSER_INFO=1

然后打开Symbol Loader,File->Open选中你编译出来的xxx.sys,Modul->Load,Modul->Translate,然后就可以调试了。

打开softice,输入file *就可以看见代码。

如果准备好了，我们就可以开始琢磨windows文件系统过滤驱动的开发了。