Windows-Dateisystem-Treiber Minifilter: kann ich überwachen und sie mit FS Operationen verhindern?
-
27-09-2019 - |
Frage
Ich muss:
1. Überwachen Operationen auf bestimmte Laufwerke / Pfade
2. Verhindern Lese- und / oder Schreiboperationen auf bestimmte Laufwerke / Pfade
Zum Beispiel:
C://Users
D:
Kann dies mit Windows Filesystem Minifilter Drivers
getan werden?
Ich bin meistens in Schritt interessiert 2. Mit anderen Worten kann ein Minifilter ein IRP stornieren?
Lösung
Ja, das ist möglich mit einem Dateisystem Mini-Filtertreiber.
# 1 Sie brauchen nicht ein Mini-Filtertreiber Sie einen Win32-API wie ReadDirectoryChangesW .
2 # können Sie nicht nur tun, aber Sie können auch ändern, was gelesen / geschrieben wird, auch unterschiedlicher Größe.
Sie können gestartet hier.
Andere Tipps
Raymond Chen, der ist seit langer Zeit eines Windows-Entwickler, adressierte eine Version dieser Frage in seinem Blog - er würde empfehlen, ACLs zu verhindern, dass Operationen anstatt zu versuchen, erhalten Code auszuführen, ihn zu stoppen. Siehe seinen Posten auf diese für einige Gedanken .. .
würde ich mit vorschlagen Detours Bibliothek um diese Aufgabe zu bewältigen.