Windows文件过滤驱动经验总结.docVIP

Windows文件过滤驱动经验总结 1、获得文件全路径以及判断时机除在所有 IRP_MJ_XXX 之前自己从头创建 IRP 发送到下层设备查询全路径外，不要尝试在 IRP_MJ_CREATE 以外的地方获得全路径，因为只有在 IRP_MJ_CREATE中才会使用 ObCreateObject() 来建立一个有效的 FILE_OBJECT。而在 IRP_READ,IRP_WRITE 中它们是直接操作 FCB (File Control Block)的。2、从头建立 IRP 发送关注点无论你建立什么样的 IRP，是 IRP_MJ_CREATE 也好还是 IRP_MJ_DIRECTORY_CONTROL也罢，最要提醒的就是一些标志。不同的标志会代来不同的结果，有些结果是直接返回失败。这里指的标志不光是 IRP-Flags，还要考虑 IO_STACK_LOCATION-Flags还有其它等等。尤其是你要达到一些特殊目的，这时候更需要注意，如 IRP_MN_QUERY_DIRECTORY，不同的标志结果有很大的不同。3、从头建立 IRP 获取全路径注意点自己从头建立一个 IRP_MJ_QUERY_INFORMATION 的 IRP 获取全路径时需要注意，不仅在 IRP_MJ_CREATE 要做区别处理，在 IRP_MJ_CLOSE 也要做同样的处理，否则如果目标是 N