Windows I/O Manager-IRPs Klassifizierung in readem und schreibartig
-
23-10-2019 - |
Frage
Ich schreibe a Windows -Dateisystem Minifilter -Treiber das muss scheitern E/A -Anfragepakete (IRPs) in einem Rückruf vorüberkommen Basierend auf ihrem Typ (lesen/schreiben).
Wie kann ich aus den Callback -Parametern (oder anderswo?) Herausfinden, ob die Operation ist les-ähnlich (liest nur Daten) oder es ist Schreibartig (Ändert Daten auf der Festplatte - schreiben, löschen, Format usw.)?
Hier ist eine Liste der wichtigsten IRP -Codes.
Ich denke an Sachen wie:
Data->Iopb->TargetFileObject->ReadAccess
Data->Iopb->TargetFileObject->WriteAccess
Aber ich bin mir nicht sicher, ich denke, diese sind nur im Rückruf nach der Operation verfügbar. Die Dokumentation ist wirklich umständlich.
Code -Beispiel zur weiteren Klärung:
FLT_PREOP_CALLBACK_STATUS
Fail (
__inout PFLT_CALLBACK_DATA Data,
__in PCFLT_RELATED_OBJECTS FltObjects,
__deref_out_opt PVOID *CompletionContext
)
{
FLT_PREOP_CALLBACK_STATUS status = FLT_PREOP_SUCCESS_NO_CALLBACK;
//********************************************************************
if ( IS_WRITE_LIKE(Data, FltObjects) ) { // ??? HOW DO I FIND OUT ???
//********************************************************************
if( FLT_IS_FASTIO_OPERATION(Data) ){
status = FLT_PREOP_DISALLOW_FASTIO;
} else {
status = FLT_PREOP_COMPLETE;
}
Data->IoStatus.Status = STATUS_ACCESS_DENIED;
Data->IoStatus.Information = 0;
return status;
}
return status;
}
Lösung
Hier ist eine euristische Liste, die ich nach viel Versuch und Irrtum erhalten habe:
Schreibartig:
IRP_MJ_SET_EA
IRP_MJ_SET_INFORMATION
IRP_MJ_SET_QUOTA
IRP_MJ_SET_SECURITY
IRP_MJ_SET_VOLUME_INFORMATION
IRP_MJ_WRITE
les-ähnlich:
IRP_MJ_CREATE
IRP_MJ_DEVICE_CONTROL
IRP_MJ_FILE_SYSTEM_CONTROL
IRP_MJ_FLUSH_BUFFERS
IRP_MJ_INTERNAL_DEVICE_CONTROL
IRP_MJ_QUERY_EA
IRP_MJ_QUERY_INFORMATION
IRP_MJ_QUERY_QUOTA
IRP_MJ_QUERY_SECURITY
IRP_MJ_QUERY_VOLUME_INFORMATION
IRP_MJ_READ
IRP_MJ_OPERATION_END