我有几个签名,我想建立一个文件系统过滤器驱动程序可以用签名检查所有可能的操作。如果找到匹配,则Filter Driver应该完全丢弃IRP包
这可能吗?
可以。
你在描述几乎每个杀毒包的功能。您需要温习nt内核模式开发知识,并熟悉文件系统MiniFilters。您还需要开始潜伏在OSR NTFSD listserv上。
过滤器驱动程序不能"完全丢弃IRP"。它能做的是在下级驱动看到它们之前完成它们,或者在IRP_MJ_CREATE的情况下,在操作后回调之前取消它们。
系好安全带,你将迎来一段颠簸的旅程。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium