【发布时间】:2011-12-20 21:40:02
【问题描述】:
我有几个签名,我想构建一个文件系统过滤器驱动程序 它可以使用签名检查所有可能的操作。如果找到匹配项 过滤器驱动程序应该完全丢弃 IRP 数据包。
有可能吗?
【问题讨论】:
-
drop 这个词不正确。您应该通过 IoCompleteRequest 函数完成要删除的 irp。
标签: filesystems device-driver kernel-module wdk minifilter
【发布时间】:2011-12-20 21:40:02
【问题描述】:
是的。
您正在描述几乎每个防病毒软件包的作用。您需要复习您的 NT 内核模式开发技能,并熟悉 File System MiniFilters。您还想开始潜伏在 OSR NTFSD listserv 上。
过滤器驱动程序不能“完全删除 IRP”。它可以做的是在较低的驱动程序看到它们之前完成它们,或者在 IRP_MJ_CREATE 的情况下,在后操作回调之前取消它们。
系好安全带,你会遇到颠簸:)
【讨论】: