这篇主要是粗糙的分析下NtCreateFile的大致过程,为写文件过滤驱动预热。
基本上涉及了我自己动手写文件过滤驱动时遇到的问题。
最后提供一个自己写的文件夹保护的代码,禁止在C:\\FlyFire文件夹中创建删除重命名文件。
其实也是我研究文件过滤驱动的初衷,像HIPS那样实现文件保护。
自己写的代码我并没有解释,因为我相信,读了这章中的NtCreateFile的过程分析,你知道该怎么做的。

文章:
驱动入门:从WRK到IRP实践篇.doc

代码:
文件过滤驱动之文件夹保护.rar