刘收获

摘要：写博客整理记录一下IRP相关的知识点，加深一下印象。 所有的I/O请求都是以IRP的形式提交的。当I/O管理器为了响应某个线程调用的的I/O API的时候，就会构造一个IRP，用于在I/O系统处理这个请求的过程中代表该请求。 0x01 IRP与IO_STACK_LOCATION的结构体概览 IRP由 阅读全文

摘要：0x01 思路（原理） 驱动层文件保护的思路是通过minifilter过滤文件删除相关的IRP，并将目标文件与被保护文件相比较，命中保护规则的话返回STATUS_ACCESS_DENIED拒绝访问；也可以进一步利用回调函数获取的FLT_CALLBACK_DATA结构体解析文件删除操作对应的发起者进程 阅读全文