我有几个签名,我想构建一个文件系统过滤器驱动程序 可以使用签名检查所有可能的操作。如果找到匹配项 过滤器驱动程序应完全丢弃IRP数据包。
有可能吗?
答案 0 :(得分:4)
是
您正在描述每个反病毒软件包的功能。您需要了解NT内核模式开发剁,并熟悉File System MiniFilters。您还想开始潜伏在OSR NTFSD listserv上。
过滤器驱动程序无法完全删除IRP"。它可以做的是在较低的驱动程序看到它们之前完成它们,或者在IRP_MJ_CREATE的情况下,在后期操作回调之前取消它们。
扣上,你在颠簸中骑行:)