如何使用minifilter驅動程序過濾讀取調用？

Question

我完全陌生的微過濾驅動程序。事實上，對於Windows開發來說是新的。我想創建一個微型過濾器驅動程序，將它附加到我的本地磁盤之一（如D驅動器），並過濾來自該驅動器中文件的READ調用。

經過這麼多的努力，我以某種方式安裝了Visual Studio 2013，然後安裝了WDK 8.然後我拿了minispy example。在更改了該項目的一些設置後，我能夠成功構建項目。

問題是，無論何時運行minispy.exe，它都只會篩選IRP_MJ_CREATE調用並將其記錄在終端或文件中。我在代碼中找不到任何地方提到它只過濾IRP_MJ_CREATE調用。

如果有人能提供一個微過濾器來過濾掉某個特定驅動器的IRP_MJ_CREATE調用，這將非常有用。

在此先感謝！

Answer 1

在minispy示例代碼中，文件Registration Data.c定義了一個回調結構，告訴過濾器管理器調用哪些操作。對於minispy，這設置爲每個預操作調用SpyPreOperationCallback，包括IRP_MJ_CREATE。

它應該記錄的不僅僅是創建操作。也許它不附在您感興趣的音量上？

如果您只想過濾來自一個驅動器的呼叫，有幾種方法可以做到這一點。您只能將過濾器附加到您感興趣的驅動器上（請參閱fltmc attach命令行選項。您也可以將過濾器編碼爲自動附加到某些卷，並且您還可以通過使用FltGetFileNameInformation獲取文件名以及決定是否登錄它

哪一個對你來說將取決於你想如何使用它