这里其实是有BUG的 为什么这么说呢,在CreateFile的函数中 我们可以用FILE_OPEN_IF创建文件 这里没有过滤 这里不应该在内核中过滤 原因是如果这里填写了对FILE_OPEN_IF的过滤,会不断弹窗,而且这个时候在这里已经不能判断文件是否存在了 已经完成了 已经生成了一个文件 一个为空的文件 那么怎么办呢,思路是得到此时...
Minifilter过滤,功能实现对驱动⽬录的监控,包括创建,重命名,删除并实现hips 注意下:我的这套过滤只能⽤在nt6系统上 原因是使⽤⼀个nt6上才有的函数 见函数 PsGetProcessFullName 其实没必要⾃⼰来写获取全路径 因为minifilter已经给我们提供了获取全路径的函数 FltGetFileNameInformation 我就不改了,哈哈 ...