我正在构建一个用于防病毒的Minifilter内核驱动程序,当文件系统操作(open|write|read(发生时,它会检索操作中涉及的文件名和进程ID。我想知道是否可以让驱动程序将数据(文件名和PID(发送到用户模式的Python应用程序,例如使用FltSendMessage?
您试图实现的目标是可能的,但是,如果没有任何破解,这是不可能的。首先,除了微软提供的C++中的微筛选器驱动程序之外,没有任何库/包装程序可以与微筛选器驱动进行交互。基于此,您可以:
- 有一个C++程序,它从内核驱动程序截取数据,并通过管道从Python程序输出或
- 具有C++/Python绑定(从Python调用C++函数(,例如使用Pybind11/SWIG等