Драйверы минифильтров файловой системы Windows: можно ли с их помощью отслеживать и предотвращать операции ФС?

Question

Мне нужно:
1. Мониторинг операций на определенных дисках / путях
2. Запретить операции чтения и / или записи на определенных дисках / путях
Например:

C://Users
D:

Можно ли это сделать с помощью Windows Filesystem Minifilter Drivers?

Меня больше всего интересует шаг 2. Другими словами, может ли минифильтр отменить IRP?

Answer 1

Рэймонд Чен (Raymond Chen), давний разработчик Windows, обратился к версии этого вопроса в своем блоге - он рекомендовал бы использовать ACL для предотвращения операций, а не пытаться заставить код запускаться, чтобы остановить его. См. его пост об этом для некоторых мыслей ...

Answer 2

Да, все это возможно с мини-драйвером файловой системы.

Для # 1 вам не нужен драйвер мини-фильтра, вы можете использовать Win32 API, например ReadDirectoryChangesW .

Для # 2 вы можете не только сделать это, но и изменить то, что будет прочитано / записано, даже разного размера.

Вы можете начать здесь .

Answer 3

Я бы предложил использовать Библиотека обходов для решения этой задачи.