麦洛克菲内核驱动开发第六课.pptVIP

绑定 设备栈绑定的形式。驱动自己生成一个设备（过滤设备），调用系统提供的绑定API，绑定到目标设备上。并返回一个在未绑定之前目标设备所在设备栈的最顶层设备。这样发往下层的IRP或者发往上层的数据都会被过滤设备截获。 绑定API： IoAttachDevice() IoAttachDeviceToDeviceStackSafe(2000 SP4以及XP以上) IoAttachDeviceToDeviceStack() IoAttachDeviceToDeviceStack PDEVICE_OBJECT?? IoAttachDeviceToDeviceStack( ?IN?PDEVICE_OBJECT??SourceDevice, ?IN?PDEVICE_OBJECT??TargetDevice????); AttachedDevice需要记录在DEVICE_EXTENSION中，以便调用IoCallDriver()继续下发IRP 文件系统过滤框架 Filemon Sfilter Minifilter Filespy Sfilter总体流程 创建控制设备 创建控制设备符号链接 过滤分发函数 Fastio 过滤与绑定 生成一个过滤设备 IoRegisterFsRegistrationChange( DriverObject, SfFsNotification ); （文件系