Диспетчер ввода/вывода Windows-Классификация IRP в виде чтения и подобной записи
-
23-10-2019 - |
Вопрос
Я пишу Драйвер минифильтера Windows это должно терпеть неудачу Пакеты запроса ввода/вывода (IRP) в Предварительный обратный вызов на основе их типа (чтение/запись).
Как я могу узнать из параметров обратного вызова (или в другом месте?), Если операция Читал (только читает данные) или это Написать (Модифицирует данные на диске - записать, удалить, формат и т. Д.)?
Здесь это список основных кодов IRP.
Я думаю о таких вещах, как:
Data->Iopb->TargetFileObject->ReadAccess
Data->Iopb->TargetFileObject->WriteAccess
Но я не уверен, я думаю, что они доступны только в обратном вызове после операции. Документация действительно громоздкая.
Пример кода для дальнейшего разъяснения:
FLT_PREOP_CALLBACK_STATUS
Fail (
__inout PFLT_CALLBACK_DATA Data,
__in PCFLT_RELATED_OBJECTS FltObjects,
__deref_out_opt PVOID *CompletionContext
)
{
FLT_PREOP_CALLBACK_STATUS status = FLT_PREOP_SUCCESS_NO_CALLBACK;
//********************************************************************
if ( IS_WRITE_LIKE(Data, FltObjects) ) { // ??? HOW DO I FIND OUT ???
//********************************************************************
if( FLT_IS_FASTIO_OPERATION(Data) ){
status = FLT_PREOP_DISALLOW_FASTIO;
} else {
status = FLT_PREOP_COMPLETE;
}
Data->IoStatus.Status = STATUS_ACCESS_DENIED;
Data->IoStatus.Information = 0;
return status;
}
return status;
}
Решение
Вот список евристов, который я получил после большого количества проб и ошибок:
Написать:
IRP_MJ_SET_EA
IRP_MJ_SET_INFORMATION
IRP_MJ_SET_QUOTA
IRP_MJ_SET_SECURITY
IRP_MJ_SET_VOLUME_INFORMATION
IRP_MJ_WRITE
Читает:
IRP_MJ_CREATE
IRP_MJ_DEVICE_CONTROL
IRP_MJ_FILE_SYSTEM_CONTROL
IRP_MJ_FLUSH_BUFFERS
IRP_MJ_INTERNAL_DEVICE_CONTROL
IRP_MJ_QUERY_EA
IRP_MJ_QUERY_INFORMATION
IRP_MJ_QUERY_QUOTA
IRP_MJ_QUERY_SECURITY
IRP_MJ_QUERY_VOLUME_INFORMATION
IRP_MJ_READ
IRP_MJ_OPERATION_END
Не связан с StackOverflow