драйвер фильтр файловой системы и теневое копирование

[marik]

Доброго времени суток!!!
Есть драйвер-фильтр файловой системы, который перехватывает MajorFunction драйвера fastfat и есть очень большое желание прикрутить к нему еще и теневое копирование(т.е. сохранение в скрытой директории точных копий файлов копируемых на диск например). В общих чертах я знаю что надо следить за IRP_MJ_WRITE, FastIoWrite.  Но это лишь мое отдаленно представление. Как различить файл уместился целиком в буфер или это только часть какого нить большого файла???  надо ли отслеживать создание FileObject
в общем буду благодарен за любую помощь в освещении этой темы

[ZeRg]

Здравствуй. из входящего Ирпа можно получить FileObject.
И уже по нему судить о файле. Вот так, например:

Код:

	PFILE_OBJECT pFileObject = Irp->Tail.Overlay.OriginalFileObject;

	if (NULL == pFileObject)
	{
		pFileObject = irpSp->FileObject;
	}

	if (NULL == pFileObject && (Irp->Flags & IRP_ASSOCIATED_IRP) && (Irp->AssociatedIrp.MasterIrp))
	{
		pFileObject = Irp->AssociatedIrp.MasterIrp->Tail.Overlay.OriginalFileObject;
	}

[amisto0x07]

в WDK есть пример sfilter. Из его состава тебе пригодятся функции по работе с именами файлов, над которыми проводятся операции, NLGetFullPathName (см. namelookup.c)

[amisto0x07]

чтоб скопировать файл, для начала нужно получить его хэндл. ==> Нужно обрабатывать IRP_MJ_CREATE - объект файла можно найти в PIO_STACK_LOCATION:

Код:

PIO_STACK_LOCATION stackIrp = GetCurentIrpStackLocation(Irp);

PUNICODE_STRING fileName = stackIrp->FileObject->FileName;

//
// TODO
//