qq_41490873的博客

Minifilter特点在Minifilter框架中,不在需要自己去写代码生成设备,去绑定卷.这些框架已经做好了.唯一需要我们做的就是在Callback中处理我们感兴趣的回调函数而已.创建文件使用FltCreateFile 不能再使用ZwCreateFile通信方式在minifilter中改为通过端口通信.驱动加载使用inf文件安装 然后使用命令net start +驱动名或者使用代码的方式加载,与NT驱动不同的是,需要新增两个注册表键值.Minifilter的注册CONST FLT_

// MiniFIlterInstall.cpp : 定义控制台应用程序的入口点。//// MinifilterInstall.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include <windows.h>#include <winioctl.h>#include <winsvc.h>#include <stdio.h>

#include<ntifs.h>#include<ntddk.h>#include <ntstrsafe.h>#define MAX_PATH 260NTSTATUSNTAPIZwQueryInformationProcess(__in HANDLE ProcessHandle,__in PROCESSINFOCLASS ProcessInformationClass,__out_bcount(ProcessInformationLength) P

#include <ntddk.h>#include <windef.h>#include <ntstrsafe.h>//输入\\??\\c:-->\\device\\\harddiskvolume1//LinkTarget.Buffer注意要释放/*把符号链接转换成设备名 可以通过API直接转换*/NTSTATUS QuerySymbolicLink( IN PUNICODE_STRING SymbolicLinkName, OUT PUN