0
我看了一下MS示例(Scanner File System Minifilter Driver)。我注意到他们只使用IRP_MJ_CREATE
,IRP_MJ_WRITE
,IRP_MJ_CLEANUP
。它是否足够实时保护?Minifilter驱动程序 - 我应该过滤哪个IRP请求以实现实时病毒防护?
我看了一下MS示例(Scanner File System Minifilter Driver)。我注意到他们只使用IRP_MJ_CREATE
,IRP_MJ_WRITE
,IRP_MJ_CLEANUP
。它是否足够实时保护?Minifilter驱动程序 - 我应该过滤哪个IRP请求以实现实时病毒防护?
所有的文件写入都会经过IRP_MJ_WRITE
。因此,如果您扫描此路径中的文件/数据,则可以确信新文件/数据不包含病毒。
但请确保你过滤全部写功能(如写入内存映射文件等)。更好/需要的是过滤分页IO。
一旦确定磁盘上的文件不包含病毒,在读取过程中扫描它们是多余的。
但是,如果系统中已经存在病毒文件,则不会被捕获。但是不要认为这是实时保护所必需的。