برامج تشغيل نظام Windows FileSystem Minifilter: هل يمكنني مراقبة عمليات FS والوقاية منها باستخدامها؟
-
27-09-2019 - |
سؤال
أنا بحاجة لــ:
1. مراقبة العمليات على محركات/مسارات معينة
2. منع القراءة و/أو كتابة العمليات على محركات/مسارات معينة
علي سبيل المثال:
C://Users
D:
هل يمكن القيام بذلك باستخدام Windows Filesystem Minifilter Drivers
?
أنا مهتم في الغالب بالخطوة 2. وبعبارة أخرى ، هل يمكن للاصطدام minifilter إلغاء IRP؟
المحلول
نعم هذا كله ممكن مع برنامج تشغيل مرشح نظام الملفات.
بالنسبة لـ #1 ، لا تحتاج إلى برنامج تشغيل مرشح صغير يمكنك استخدام واجهة برمجة تطبيقات Win32 مثل ReadDirectoryChangesw.
بالنسبة إلى #2 ، لا يمكنك القيام بذلك فحسب ، بل يمكنك أيضًا تعديل ما يتم قراءته/مكتوبة ، حتى من الحجم المختلفة.
تستطيع ابدأ هنا.
نصائح أخرى
ريموند تشن ، وهو مطور Windows منذ فترة طويلة ، تناول إصدارًا من هذا السؤال على مدونته - سيوصي باستخدام ACLs لمنع العمليات بدلاً من محاولة تشغيل التعليمات البرمجية لإيقافه. يرى منصبه على هذا لبعض الأفكار ...
أود أن أقترح استخدام مكتبة الالتفاف للتعامل مع هذه المهمة.