Драйверы Minifilter Windows FileSystems Minifilter: Могу ли я отслеживать и предотвратить их операции FS?
-
27-09-2019 - |
Вопрос
Мне нужно:
1. Мониторинг операций на определенных приводах / путях
2. Предотвратите прочитанные и / или записи операций на определенных приводах / путях
Например:
C://Users
D:
Это может быть сделано с использованием Windows Filesystem Minifilter Drivers
?
Я в основном интересую шаг 2. Другими словами Может ли миниатюрник отменить IRP?
Решение
Да, это возможно с файловой системой мини фильтра драйвера.
Для # 1 вам не нужен мини-фильтр, который вы можете использовать API Win32, как Readdirectorychangesw..
Для # 2 вы можете не только сделать это, но вы также можете изменить то, что получает чтение / письменный, даже разных размеров.
Ты сможешь Начните здесь.
Другие советы
Raymond Chen, который является долговременным разработчиком Windows, адресованная версией этого вопроса в своем блоге - он рекомендовал использовать ACL для предотвращения работы, а не пытаться получить код, чтобы запустить его. Видеть его пост На это для некоторых мыслей ...
Я бы предложил использовать Объездная библиотека Чтобы обработать эту задачу.