卷过滤器驱动程序不监视某些系统文件

【问题标题】:Volume filter driver not monitoring some system files卷过滤器驱动程序不监视某些系统文件
【发布时间】:2013-12-02 11:10:34
【问题描述】:

我正在开发一个高容量过滤器驱动程序,该驱动程序监视扇区上的写入/修改,然后在我自己的位图中设置该扇区的相应位。我使用 WDK 中提供的 diskperf 示例作为基础。

大多数情况下,一个扇区上的所有写入/修改都会被监控并设置相应的位。我的问题是我的过滤器驱动程序无法监控某些扇区, 例如:$MFT、$MFTMirr 等。

但它能够跟踪 $LogFile 的扇区。 谁能告诉我需要设置什么样的属性或标志来处理所有类型的写入 IO,以便我的过滤器驱动程序可以跟踪所有扇区,包括 $MFT 等系统文件扇区和此类文件?

我们将不胜感激任何形式的帮助。提前致谢。

【问题讨论】:

    标签: c windows driver filter-driver ntfs-mft


    【解决方案1】:

    如果您的驱动程序是卷过滤器驱动程序,它应该获得该卷上的所有读/写。但是为$Mft$MftMirror 写入可能不会通过卷驱动程序。 NTFS 驱动程序可能通过私有 api 直接写入分区/磁盘,跳过卷堆栈。因此,您不会在驱动程序中看到写入内容。

    【讨论】:

    • 您好,感谢您的回复。你知道什么方法,以便在对 $Mft 文件进行任何写入时,我可以在我的驱动程序中了解吗?
    • @user3057138,我认为你需要往下走。编写磁盘过滤器驱动程序来获取这些 I/O。
    • @user3057138: 还是从 NTFS 驱动程序中窃取主要功能条目?不过,这很冒险。
    猜你喜欢
    • 2021-08-19
    • 2012-08-11
    • 1970-01-01
    • 1970-01-01
    • 2017-10-09
    • 2015-03-21
    • 2011-08-10
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode