我正在研究一个上部过滤器驱动程序,它监视扇区上的写入/修改,然后在我自己的位图中设置该扇区的各个位。我使用WDK中提供的diskperf示例作为基础。
主要监视扇区上的所有写入/修改并设置相应的位。我的问题是我的过滤器驱动程序无法监控某些扇区, 例如:$ MFT,$ MFTMirr等。
但它能够跟踪$ LogFile的扇区。 任何人都可以告诉我需要设置什么样的属性或标志来处理所有类型的写IO,以便我的过滤器驱动程序可以跟踪所有扇区,包括系统文件扇区,如$ MFT和这些文件?
任何形式的帮助将不胜感激。提前谢谢。
答案 0 :(得分:0)
如果您的驱动程序是卷过滤器驱动程序,它应该在该卷上获得所有读/写。但是$Mft或$MftMirror的写入可能不会通过批量驱动程序。 NTFS驱动程序可能通过私有apis直接写入分区/磁盘,跳过卷堆栈。因此,您不会在驱动程序中看到写入。