我正在尝试创建一个过滤器驱动程序来阻止文件删除操作,但我无法识别删除文件时的IRP消息。
我使用下面的代码;它适用于Windows 7,但不适用于Windows 8或更高版本。
if (pIrp->MajorFunction==IRP_MJ_WRITE || pIrp->MajorFunction==IRP_MJ_SET_INFORMATION ||
pIrp->MajorFunction==IRP_MJ_SET_VOLUME_INFORMATION || pIrp->MajorFunction==IRP_MJ_SET_SECURITY ||
pIrp->MajorFunction==IRP_MJ_SET_QUOTA)
{
DbgPrint("fdrv :Read only operation block");
Irp->IoStatus.Status = STATUS_ACCESS_DENIED;//Deny Access
Irp->IoStatus.Information = 0;
IoCompleteRequest(Irp, IO_NO_INCREMENT);
return STATUS_ACCESS_DENIED;
}
答案 0 :(得分:1)
存在两种删除文件的方法
FILE_DELETE_ON_CLOSE选项(NtCreateFile打开它,
NtOpenFile,IoCreateFile或NtDeleteFile也是内部公开的
文件FILE_DELETE_ON_CLOSE)。在这种情况下将是
IRP_MJ_CREATE FileDispositionInformation或来电话ZwSetInformationFile
FileDispositionInformationEx。在这种情况下将是
IRP_MJ_SET_INFORMATION -
union {
PVOID Buffer;
PFILE_DISPOSITION_INFORMATION pfdi;
PFILE_DISPOSITION_INFORMATION_EX pfdi_ex;
};
PIO_STACK_LOCATION IrpSp = IoGetCurrentIrpStackLocation(Irp);
switch (IrpSp->MajorFunction)
{
case IRP_MJ_SET_INFORMATION:
Buffer = Irp->AssociatedIrp.SystemBuffer;
switch (IrpSp->Parameters.SetFile.FileInformationClass)
{
case FileDispositionInformation:
if (pfdi->DeleteFile)
{
//
}
break;
case FileDispositionInformationEx:
if (pfdi_ex->Flags & FILE_DISPOSITION_DELETE)
{
//
}
break;
}
break;
case IRP_MJ_CREATE:
if (IrpSp->Parameters.Create.Options & FILE_DELETE_ON_CLOSE)
{
//
}
break;
}