是否可以在文件系统过滤器驱动程序中删除 IRP？

Question

我有几个签名，我想构建一个文件系统过滤器驱动程序 它可以检查所有可能的带有签名的操作。如果找到匹配项 过滤器驱动程序应该完全丢弃 IRP 数据包。

可以这样做吗？

Answer 1

是的。

您正在描述几乎每个防病毒软件包的作用。您需要温习 NT 内核模式开发知识，并熟悉 文件系统微型过滤器。您还需要开始潜伏在 OSR NTFSD listserv 上。

过滤器驱动程序不能“完全删除 IRP”。它可以做的是在较低的驱动程序看到它们之前完成它们，或者在 IRP_MJ_CREATE 的情况下，在操作后回调之前取消它们。

系好安全带，您将经历一段颠簸的旅程:)