检测 Windows 文件系统中的仅元数据读取请求

Question

我正在开发一种文件系统驱动程序。 Windows 对我的文件系统发出的所有读取请求均由驱动程序实现执行。

我想区分“正常”读取请求和那些只想从文件中获取元数据的请求。 （Windows 读取文件的前 4K，然后停止读取）。

Windows 是否以某种方式标记此元数据读取？以不同的方式处理这两种操作将非常有用。

在典型的 CreateFile 调用中，我们有 AccessMode、ShareMode、CreationDisposition 和 FlagsAndAttributes 参数（为 DWORD ），我不确定是否可以提取所请求操作的一些线索。

感谢您的阅读:)

Answer 1

我建议您使用 SysInternals 文件监控工具。它捕获每个调用的堆栈跟踪，并且由于它理解 PDB，甚至可以向您显示函数名称。这应该可以让您弄清楚这个特定通话的许多细节。

Answer 2

重读后发现，问题似乎是在错误的地方进行优化。为什么不将前 4KB 的每个请求都视为元数据请求呢？这种假设几乎没有什么坏处。

如果您在实际只需要 4KB 时执行 100 MB 的实际 I/O，则相反的假设将是有害的。但如果您需要 100 MB，则对前 4KB 进行小幅优化至多会导致本来就很长的操作出现一次性的小问题。

Answer 3

执行文件扫描以提取元数据的不是 Windows，而是 Windows 资源管理器。此外，您还将面对阅读以创建缩略图。

将驱动器作为远程/网络报告给Windows将使资源管理器读取更少的信息并减少文件系统的负载，但不幸的是似乎没有办法完全阻止这种读取。