在IRP_MJ_CREATE里面能够得到的调用ZwCreateFile传递的参数值,分析参数获取所需要过滤的文件信息.
详细说明的请参考下面代码框内容:
DeleteFile()产生的IRP_MJ_CREATE如下,一般判断DELETE位足够,不必担心FILE_ALL_ACCESS的干扰.
在IRP_MJ_CREATE里面能够得到的调用ZwCreateFile传递的参数值,分析参数获取所需要过滤的文件信息.
详细说明的请参考下面代码框内容:
DeleteFile()产生的IRP_MJ_CREATE如下,一般判断DELETE位足够,不必担心FILE_ALL_ACCESS的干扰.