我是Windows筛选器驱动程序的新手。从(MSDN)的示例代码中,我看到的是,文件系统过滤器驱动程序具有与之关联的过滤器管理器,而进程过滤器驱动程序没有与之关联的过滤器管理器。那为什么有区别呢? 因此需要一些建议和帮助。
答案 0 :(得分:0)
似乎您可能想阅读Alex Ionescu的Windows Internals,这将从头开始,为您清除所有内容,并帮助您理解整个内容。
基本上,过去,文件系统筛选器驱动程序的构建方式是将其放置在确切的文件系统DEVICE STACK(例如NTFS)中的正确位置。这样,就有机会过滤IRP。
如今,您提到的事情,过滤器管理器(FLTMGR)在设备堆栈的顶部和底部都有自己的(旧版)驱动程序,它使您可以注册一个回调函数,每次捕获IRP时,您将有机会处理它。
进程(创建/删除)过滤有些不同,它不是使用IRP处理的,基本上在内核端NtCreateUserProcess的调用流中,有一个函数负责调用为这种回调注册的任何函数。 / p>
我希望它能为您清除一切。