Windows Filesystem MiniFilter Pilotes: puis-je surveiller et empêcher les opérations de FS les utiliser?
-
27-09-2019 - |
Question
Je dois:
1. Opérations sur certains lecteurs du moniteur / chemins
2. Prévenir lire et / ou des opérations d'écriture sur certains lecteurs / chemins
Par exemple:
C://Users
D:
Cela peut être fait en utilisant Windows Filesystem Minifilter Drivers
?
Je suis principalement intéressé à l'étape 2. En d'autres termes peut un minifiltres annuler un PRI?
La solution
Oui tout cela est possible avec un pilote de filtre mini-système de fichiers.
Pour # 1 vous n'avez pas besoin d'un pilote mini-filtre, vous pouvez utiliser une API Win32 comme ReadDirectoryChangesW .
Pour # 2, vous pouvez non seulement cela, mais vous pouvez également modifier ce qui est lu / écrit, même de taille différente.
Vous pouvez commencer .
Autres conseils
Raymond Chen, qui est un développeur de Windows de longue date, a adressé une version de cette question sur son blog - il est recommandé d'utiliser ACLs pour prévenir les opérations plutôt que d'essayer d'obtenir le code à exécuter pour l'arrêter. Voir son poste sur ce point pour quelques réflexions .. .
Je suggère d'utiliser bibliothèque Detours pour gérer cette tâche.