Finestre Filesystem mini-filtro Driver: posso monitorare e prevenire le operazioni di FS che li utilizzano?
-
27-09-2019 - |
Domanda
ho bisogno di:
1. Le operazioni di monitoraggio su alcune unità / percorsi
2. Prevenire leggere e / o operazioni di scrittura su alcune unità / percorsi
Ad esempio:
C://Users
D:
Può questo essere fatto utilizzando Windows Filesystem Minifilter Drivers
?
Io sono per lo più interessati al passaggio 2. In altre parole può un mini-filtro annullare un IRP?
Soluzione
Sì, questo è possibile con un driver del filesystem di filtro mini.
Per 1 # non è necessario un driver di filtro mini si potrebbe usare un'API Win32 come ReadDirectoryChangesW .
Per 2 # è possibile non solo farlo, ma è anche possibile modificare ciò che viene letto / scritto, anche di dimensioni diverse.
Puoi iniziare qui .
Altri suggerimenti
Raymond Chen, che è uno sviluppatore di lunga data di Windows, affrontato una versione di questa domanda nel suo blog - avrebbe consiglia di utilizzare le ACL per prevenire operazioni piuttosto che cercare di ottenere il codice per eseguire per fermarlo. Vedere suo posto su questo per alcuni pensieri .. .
Io suggerirei di usare Detours biblioteca per gestire questo compito.