Windows I/O Manager-IRPs Klassifizierung in readem und schreibartig

https://stackoverflow.com/questions/2957880

23-10-2019
|

Frage

Ich schreibe a Windows -Dateisystem Minifilter -Treiber das muss scheitern E/A -Anfragepakete (IRPs) in einem Rückruf vorüberkommen Basierend auf ihrem Typ (lesen/schreiben).
Wie kann ich aus den Callback -Parametern (oder anderswo?) Herausfinden, ob die Operation ist les-ähnlich (liest nur Daten) oder es ist Schreibartig (Ändert Daten auf der Festplatte - schreiben, löschen, Format usw.)?

Hier ist eine Liste der wichtigsten IRP -Codes.

Ich denke an Sachen wie:

Data->Iopb->TargetFileObject->ReadAccess 
Data->Iopb->TargetFileObject->WriteAccess

Aber ich bin mir nicht sicher, ich denke, diese sind nur im Rückruf nach der Operation verfügbar. Die Dokumentation ist wirklich umständlich.

Code -Beispiel zur weiteren Klärung:

FLT_PREOP_CALLBACK_STATUS
Fail (
    __inout PFLT_CALLBACK_DATA Data,
    __in PCFLT_RELATED_OBJECTS FltObjects,
    __deref_out_opt PVOID *CompletionContext
    )
{
    FLT_PREOP_CALLBACK_STATUS status = FLT_PREOP_SUCCESS_NO_CALLBACK;
    //********************************************************************
    if ( IS_WRITE_LIKE(Data, FltObjects)  ) { // ??? HOW DO I FIND OUT ???
    //********************************************************************  
        if( FLT_IS_FASTIO_OPERATION(Data) ){
            status = FLT_PREOP_DISALLOW_FASTIO;
        } else {
            status = FLT_PREOP_COMPLETE;
        }
        Data->IoStatus.Status = STATUS_ACCESS_DENIED;
        Data->IoStatus.Information = 0;
        return status;

    }
    return status;
}

Lösung

Hier ist eine euristische Liste, die ich nach viel Versuch und Irrtum erhalten habe:

Schreibartig:

IRP_MJ_SET_EA
IRP_MJ_SET_INFORMATION
IRP_MJ_SET_QUOTA
IRP_MJ_SET_SECURITY
IRP_MJ_SET_VOLUME_INFORMATION
IRP_MJ_WRITE

les-ähnlich:

IRP_MJ_CREATE
IRP_MJ_DEVICE_CONTROL
IRP_MJ_FILE_SYSTEM_CONTROL
IRP_MJ_FLUSH_BUFFERS
IRP_MJ_INTERNAL_DEVICE_CONTROL
IRP_MJ_QUERY_EA
IRP_MJ_QUERY_INFORMATION
IRP_MJ_QUERY_QUOTA
IRP_MJ_QUERY_SECURITY
IRP_MJ_QUERY_VOLUME_INFORMATION
IRP_MJ_READ
IRP_MJ_OPERATION_END

Lizenziert unter: CC-BY-SA mit Zuschreibung

Nicht verbunden mit StackOverflow