我需要:在某些驱动器/路径
1.监测操作
2.防止读取和/或在某些驱动器/路径
例如写操作:Windows Filesystem Minifilter Drivers:我可以使用它们监视和防止FS操作吗?
C://Users
D:
可以这样使用来完成Windows Filesystem Minifilter Drivers
?
我主要对第2步感兴趣。换句话说,微过滤器可以取消IRP吗?
我需要:在某些驱动器/路径
1.监测操作
2.防止读取和/或在某些驱动器/路径
例如写操作:Windows Filesystem Minifilter Drivers:我可以使用它们监视和防止FS操作吗?
C://Users
D:
可以这样使用来完成Windows Filesystem Minifilter Drivers
?
我主要对第2步感兴趣。换句话说,微过滤器可以取消IRP吗?
是的这是所有可能的文件系统迷你过滤器驱动程序。
对于#1,您不需要迷你过滤器驱动程序,您可以使用Win32 API,如ReadDirectoryChangesW。
对于#2你不仅可以做到这一点,但你也可以修改读取/写入的内容,即使是不同的大小。你可以get started here。
Raymond Chen是一位长期的Windows开发人员,在他的博客上提到了这个问题的一个版本 - 他会推荐使用ACL来防止操作,而不是试图让代码运行来阻止它。看到his post在这个想法...
[专业溶液](http://www.pgp.com/products/endpoint/index.html)似乎使用潜水员。还以编程方式在端点上设置ACL为[hard-ish](http://diaryproducts.net/about/operating_systems/windows/disable_usb_sticks),并且通过序列号和其他因素有条件地设置ACL,例如USB磁盘似乎只能通过驱动程序。 – clyfe 2010-05-20 19:34:32
我会建议使用Detours library来处理这个任务。
ty。我为1使用微过滤器的原因是,ReadDirectoryChangesW报告访问操作延迟了1d(xp)或1h(vista +) – clyfe 2010-05-17 14:41:15