Windows-IRP-Funktionsaufruf zum Öffnen und Speichern von Dateien

-1

ich zur Zeit auf einem Minifilter-Treiber arbeiten, und ich brauche diese Art von Veranstaltungen abfangen:Windows-IRP-Funktionsaufruf zum Öffnen und Speichern von Dateien

Dateien in einem Ordner Listing
Öffnen einer Datei in eine Anwendung
schließen diese Datei
ändern und speichern Sie die Datei

Von dem, was ich lese, ich denke, ich IRP_MJ_CR filtern müssen EATE, IRP_MJ_READ, IRP_MJ_WRITE, aber ich brauche etwas besser als eine Schätzung.

Wie kann ich genau wissen, welches IRP für jedes Ereignis gesendet wird?

Quelle

2017-11-20 Krag

Verwenden Sie den Minifilter-Treiber, um zu hoffen, dass Sie dies überleben. https://docs.microsoft.com/en-us/windows-hardware/drivers/ifs/i-o-requests-generated-by-the-minifilter-driver –

Listing-Datei im Ordner: IRP_MJ_DIRECTORY_CONTROL. Überprüfen Sie this für weitere Informationen.
Öffnen einer Datei in einer Anwendung: IRP_MJ_CREATE. Überprüfen Sie this für weitere Informationen.
Schließen der Datei: IRP_MJ_CLEANUP und IRP_MJ_CLOSE
Ändern der Datei: IRP_MJ_WRITE, IRP_MJ_SET_INFORMATION (speziell die FileEndOfFileInformation und FileValidDataLengthInformation Informationsklassen), IRP_MJ_FILE_SYSTEM_CONTROL (speziell FSCTL_OFFLOAD_WRITE , FSCTL_WRITE_RA W_ENCRYPTED und FSCTL_SET_ZERO_DATA fsctl-Codes).

Viel Glück.

Quelle

2018-01-26 20:41:04

Windows-IRP-Funktionsaufruf zum Öffnen und Speichern von Dateien

Antwort

Verwandte Themen