Drivers minifilter do Windows FileSystem: Posso monitorar e impedir operações de FS usando -as?
-
27-09-2019 - |
Pergunta
Preciso:
1. Monitore as operações em determinadas unidades/caminhos
2. Evite operações de leitura e/ou gravação em determinadas unidades/caminhos
Por exemplo:
C://Users
D:
Isso pode ser feito usando Windows Filesystem Minifilter Drivers
?
Estou principalmente interessado na etapa 2. Em outras palavras, um minifilter pode cancelar um IRP?
Solução
Sim, tudo isso é possível com um driver de mini filtro de sistema de arquivos.
Para #1, você não precisa de um mini driver de filtro, você pode usar uma API Win32 como ReadDirectoryChangesw.
Para o #2, você pode não apenas fazer isso, mas também pode modificar o que é leia/escrito, mesmo de tamanho diferente.
Você pode Comece aqui.
Outras dicas
Raymond Chen, que é desenvolvedor de longa data do Windows, abordou uma versão dessa pergunta em seu blog - ele recomendaria o uso da ACLS para prevenir operações, em vez de tentar fazer com que o código seja executado para impedi -lo. Ver seu post sobre isso para alguns pensamentos ...
Eu sugeriria usar Detours Library Para lidar com esta tarefa.