StandAlone
Гость
|
|
« : 11-12-2007 21:26 » |
|
Собственно говоря, сабж. Задача такая - надо перехватывать запросы на открытие, чтение, запись и удаление файла(в перспективе еще то же самое и для директорий), затем валидизировать их и по результатам - запрещать или разрешать. Насколько я понял, есть два основных пути - драйвер-фильтр по типу стандартного FileSpy, и перехват сервисных функций Nt. Драйвер-фильтр громоздок, к тому же в нем проблемы с определением имени файла, а при перехвате сервиса - имя файла как на тарелочке... Подскажите, пожалуйста, который из этих способов приемлемее? Какие могут быть засады и проблемы на каждом? И еще. Для IRP все понятно, его достаточно IoCancelIrp() и отправить E_ACCESS_DENIED. А вот как отменить операцию открытия файлового обьекта через FastIo?
|