在我查看MS示例(Scanner File System Minifilter Driver)之后。我注意到他们只使用IRP_MJ_CREATE,IRP_MJ_WRITE,IRP_MJ_CLEANUP。是否足以实时保护?
答案 0 :(得分:0)
所有文件写入都将通过IRP_MJ_WRITE。因此,如果您扫描此路径中的文件/数据,您可以相当确定新文件/数据不包含病毒。
但请确保过滤所有写入功能(如编写内存映射文件等)。更好/必需也将过滤分页IO。
一旦确定磁盘上的文件不包含病毒,在读取过程中扫描它们是多余的。
但是,如果系统上已存在病毒文件,则不会被捕获。但是,不要认为这是实时保护所必需的。