|
StandAlone
Гость
|
 |
« : 11-12-2007 21:26 » |
|
Собственно говоря, сабж. Задача такая - надо перехватывать запросы на открытие, чтение, запись и удаление файла(в перспективе еще то же самое и для директорий), затем валидизировать их и по результатам - запрещать или разрешать.
Насколько я понял, есть два основных пути - драйвер-фильтр по типу стандартного FileSpy, и перехват сервисных функций Nt.
Драйвер-фильтр громоздок, к тому же в нем проблемы с определением имени файла, а при перехвате сервиса - имя файла как на тарелочке...
Подскажите, пожалуйста, который из этих способов приемлемее? Какие могут быть засады и проблемы на каждом?
И еще. Для IRP все понятно, его достаточно IoCancelIrp() и отправить E_ACCESS_DENIED.
А вот как отменить операцию открытия файлового обьекта через FastIo?
|
