1
몇 가지 서명이 있는데 서명과 관련된 모든 작업을 확인할 수있는 파일 시스템 필터 드라이버 을 작성하려고합니다. 일치 항목이 보다 크면 필터 드라이버가 IRP 패킷을 완전히 삭제해야합니다.파일 시스템 필터 드라이버에서 IRP를 삭제할 수 있습니까?
그렇게 할 수 있습니까?
A
답변
4
예.
당신은 모든 안티 바이러스 패키지가 무엇을하는지 설명하고 있습니다. NT 커널 모드 개발을 끝내고 File System MiniFilters에 익숙해 져야합니다. 또한 OSR NTFSD listserv에 숨어 있기 시작하는 것이 좋습니다.
필터 드라이버가 "IRP를 완전히 삭제"할 수 없습니다. 그것이 할 수있는 일은 낮은 운전자가 IRP_MJ_CREATE를 보거나 IRP_MJ_CREATE의 경우 이전 작업 콜백에 앞서이를 취소하기 전에 완료하는 것입니다.
버클 업, 울퉁불퉁 한 승차 야 :)
* drop *이라는 단어가 잘못되었습니다. IoCompleteRequest 함수를 사용하여 삭제할 항목을 완성해야합니다. – Benjamin