我编写了一个只关心写入的简单过滤器驱动程序。过滤器只注册IRP_MJ_WRITE。过滤器驱动程序会删除它不关心的内容:如果写的是0字节长如果请求者是内核模式如果元数据中的文件名与我们感兴趣的特定文件匹配我想要捕获的是所有实际写入磁盘的写入。我应该关注哪些写入？目前我正在捕获所有IRP和FAST_IO。但是捕获两者会产生一些重复。仅捕获IRP，我似乎遗漏了一些数据，仅捕获FAST_IO也是如此。我读过http://msdn.microsoft.com/en-us/library/ff548576.aspx(“IRP不同于快速I/O”)，但这并没有阐明我的经验数据。我正在尝试做的是在过滤器

我知道有两种类型的过滤驱动程序，旧的文件系统过滤器和较新的微过滤器。我一直在查找有关这两者的信息，看起来当前版本的Windows仍支持这两者。我找不到关于它是否会保持这种状态的任何可靠信息。我在Microsoft网站上看到鼓励开发人员将遗留过滤器移植到微过滤器，但我没有在任何地方找到任何关于弃用旧系统(或计划弃用它)的信息。然而在一些博客上我读到它们应该被移植并且微软已经表示这将在未来强制执行，但我没有找到该声明的来源。任何人都可以阐明这一点吗？我自己并没有开发新的驱动程序，我有一个特定的遗留过滤器，想知道它是否可以安全使用。我不想用这个，微软突然决定在下一版本的Windows或其他东

对于有FS微过滤器经验的人来说，这可能是一个很容易回答的问题。我正在尝试编写删除过滤器驱动程序和设备的脚本。一些背景...此驱动程序在Windows8/10x64上运行。创建驱动程序的供应商没有帮助满足我对删除工具的请求。不幸的是，他们的MSI卸载有错误，并且只有大约一半的时间可以运行...他们希望我们升级到他们的最新版本，该版本没有我们在卸载过程中遇到的错误。我们对继续使用这个软件不感兴趣，所以付费升级似乎很无聊……他们唯一的建议是在没有包含FS微过滤器设备的软件的情况下重新镜像计算机……这是不可能的，因为它已经打开1000多台计算机...基本上，他们的官方卸载程序会对其中一台服务器

我已经创建了自己的迷你过滤器驱动程序，例如迷你spy(来自Windows-driver-samples的示例)。现在我已经完成我的驱动程序并使用我们自己的SHA-1公司证书签名。但它仍然需要微软签名才能在Windows10机器上运行。我在互联网上搜索了我的驱动程序签名。但它误导了我。如何从Microsoft签署我的驱动程序？ 最佳答案 是的，新的司机签名系统是一个巨大的PITA，这使得与CI集成和正确检查变得非常困难。这也是一堆损坏的链接和过时的信息页面，特别是如果您添加了SHA1的弃用。所需的步骤是:编译你的驱动使用非EV的SHA

我必须编写一个功能来防止用户在WindowsXP的桌面上创建文件(快捷方式文件(*.lnk)和目录除外)。经过一些研究，我得出结论，这可以使用文件系统过滤器驱动程序或微型驱动程序来完成。更改NTFS权限不起作用，因为无法加载/保存漫游配置文件。我查看了DDK示例。例如取消安全。他们正在取消I/O，但这不是我想要的。我见过防病毒程序阻止对受感染文件的访问，并且操作系统返回错误代码5:访问被拒绝。我想要完全相同的行为。那么我怎样才能在过滤器驱动程序中实现这一点呢？ 最佳答案 你需要写minifilterdriver并附加到桌面文件夹所在

我正在写一个windowsfilesystemminifilterdriver那一定会失败I/ORequestPackets(IRP's)在preoperationcallback基于它们的类型(读/写)。如果操作是类读(仅读取数据)或类写(修改数据磁盘-写入、删除、格式化等)？Here是主要IRP代码的列表。我正在考虑类似的事情:Data->Iopb->TargetFileObject->ReadAccessData->Iopb->TargetFileObject->WriteAccess但我不确定，我认为这些仅在术后回调中可用。文档真的很麻烦。进一步说明的代码示例:FLT_PREO

我想在Window的“格式数据”对话框中的文件系统列表中添加一个文件系统。这些数据是从哪里填充的？我猜它是从现有的可安装文件系统(驱动程序、过滤器、微型过滤器)中枚举出来的？我想做的是创建一个自定义文件系统，该系统与NTFS基本相同，但差别很小。我想知道我是否可以创建一个IFS驱动程序/过滤器/微型过滤器，它允许我搭载现有的NTFS驱动程序(就像一个直通，但让它通过一个特定的文件系统驱动程序，而不是仅仅落到下一个可用的)和请允许我将其列在格式数据对话框中，同时调用我的格式函数，该函数将调用底层NTFS格式函数。我不确定这是否可能或如何完成。我基本上是在找人给我指明正确的方向。

简短版本:有没有办法“拦截”Windows(XP或7)文件系统调用以打开文件并将所述调用替换为不同的文件名？长版:我正在努力帮助客户从硬盘损坏中恢复过来。有问题的计算机在一个亭子里，它只是结合网络摄像头播放两个Flash文件。它由来自MDMZinc的已编译.exe控制。我有两个Flash文件和一个.exe副本。问题是，只有一个Flash文件打开了。经过大量的思考之后，我终于通过SysternalsProcessMonitor看到了正在发生的事情。这两个.flv文件都在同一个文件夹中。我可以在ProcessMon中非常清楚地看到.exe将工作进程称为c:\somedirectory\an

我正计划开始开发Windows驱动程序，但我有一些问题。如何启动一个简单的VisualStudio驱动程序项目？我正在使用VisualStudioUltimate2012，并且我在MSDN上阅读了如何制作一个简单的软件驱动程序，但是在教程中，在NewProject窗口中，有比我更多的选项。更准确地说，我没有Templates>VisualC++>WindowsDrivers。或者，如果我在网上搜索UserModeDriver(UMDF)，我什么也找不到。我已经安装了WDK8.1为了正确构建驱动程序项目，我应该做哪些额外的更改？ 最佳答案

关闭。这个问题不符合StackOverflowguidelines.它目前不接受答案。我们不允许提问寻求书籍、工具、软件库等的推荐。您可以编辑问题，以便用事实和引用来回答。关闭2年前。Improvethisquestion我想在我的项目中使用windowsminiFilter。我看过微软的文档，但似乎很难理解。我还阅读了miniFilters的GitHub示例，但它们并没有提供所有内容的解释，因为我想了解我写的内容，而不仅仅是复制和粘贴。有没有适合初学者的网站可以帮助我了解更多信息？