WorkBuddy（腾讯龙虾）开发 Minifilter文件系统过滤驱动

先说几个核心判断：用大模型辅助开发一个内核级驱动，这事儿放在以前想都不敢想。但这次，WorkBuddy（腾讯龙虾）确实做到了。整个项目：一个基于 Minifilter 的文件系统过滤驱动（C语言），加上界面参数设置和控制程序（WPF C#），从零到基本可用，只花了一天半时间。项目几乎是全自动生成，再根据反馈做问题修正。不过有个小前提：开发时最好把360安全卫士关掉，因为涉及复制、删除这类敏感操作，容易被拦截。

这个项目最终的定位是什么？一套 Windows 内核级的商用透明加密软件。它用微过滤驱动实现对文件的无感透明加密，内置了高强度防泄露风控、防破解、防反编译、防逆向体系。目标场景很明确：企业办公、图纸资料、私密文档的加密保护。所有拦截和操作都在内核层完成，没有应用层那些虚假模拟功能。

简单回顾一下 Minifilter 是什么。它本质上就是 Windows 系统里的一个文件系统过滤驱动，专门用来拦截和处理文件操作请求。杀毒软件、加密工具和备份程序里经常能见到它的身影。它就像文件系统的一个“中间人”，在应用程序和磁盘之间截获读写、删除等操作请求，在数据真正到达磁盘之前就能完成处理。常见的用途包括：安全防护——杀毒软件用它扫描文件，防止恶意程序写入；数据加密——文件保存时自动加密，读取时解密；备份审计——记录文件修改历史或自动备份；权限控制——限制特定程序或用户访问某些文件，实现沙箱隔离。

当然，项目不是一帆风顺的。遇到的第一个 BUG 就很典型：蓝屏，Stop code 是 KERNEL_SECURITY_CHECK_FAILURE (0x139)，出问题的是 Minifilter_YiNian.sys 驱动。问题原因很清晰——驱动里用了非法的间接调用或函数指针跳转，代码不符合新版 Windows 的 CFG（控制流保护）安全机制。解决办法是必须启用 CFG。这个 BUG 前前后后修改了 5 次才最终搞定。

为什么这个项目用时相对较长？因为它不是简单的 DLL，而是 .sys 文件。涉及 Minifilter 驱动、签名、部署，整个链路比普通应用层开发繁琐得多。但整体项目还是非常可控，结果也很完美。

测试阶段需要开启测试模式，命令是 bcdedit /set testsigning on，然后重启。系统右下角会出现三段文字提示，就说明开启成功了。

测试完毕后，执行 bcdedit /set testsigning off 关闭测试模式，再重启。

有一点需要特别注意：Windows 11 和 10 的 .sys 驱动需要经过签名的证书才能运行。如果只是在测试环境，可以先生成一个测试证书签名，这样驱动就只能在测试模式下运行。

要是想让驱动在正常模式下运行，那就得把证书提交到微软进行注册申请。

驱动成功运行后，下面整理了一套最常用的 DOS 命令（管理员权限下执行），用于查看注册、运行状态和管理操作。都是实战中高频使用的内容。