迷你过滤器驱动程序-我应该过滤哪个IRP请求以进行实时病毒防护
Minifilter Driver - Which IRP request should I filter for realtime virus protection?
在我查看了MS示例(扫描仪文件系统迷你过滤器驱动程序)之后。我注意到他们只使用IRP_MJ_CREATE, IRP_MJ_WRITE, IRP_MJ_CLEANUP。它是否足以提供实时保护?
所有文件写入都将通过IRP_MJ_WRITE。因此,如果您扫描此路径中的文件/数据,您可以相当确定新的文件/数据不包含病毒。
但是要确保过滤了所有写函数(比如写内存映射文件等)。更好的/需要的将是过滤分页IO。
一旦确定磁盘上的文件不含病毒,在读取时扫描它们是多余的。
但是,如果系统上已经存在病毒文件,它将不会被捕获。但不要认为这是实时保护所必需的。
相关文章:
- 有关插入适配器的错误。[错误]请求从 'back_insert_iterator<vector<>>' 类型转换为非标量类型
- 如何在boost beast http请求中设置http头
- 发送一个带有libcurl C++问题的帖子请求:s
- 在多个核心中处理一个HTTP请求
- 从数据库实时显示QT c++中的数据
- 在 Windows 8/10 技术中完全实时的屏幕捕获,没有延迟
- 错误:请求非类类型为"MULTIMEDIA_FILME [500]"的成员|
- 使用 Winsock2.h C++向不和谐 API 发送 HTTP 请求时出现问题
- 有没有办法使用 c++ 实时阅读文本?
- 在本地网络中通过OpenCV(C++)实时流式传输图像
- 将相机数据从服务器实时流式传输到客户端
- 每个服务器请求的内存预算
- std::getline没有在while循环中重新请求用户输入
- 将实时(非静态)放在qt(c ++)上
- 请求最简单的 OpenMP 目标 GPU 示例
- 线程之间的实时数据共享
- 如何在实时应用程序中锁定线程
- 请求有关C++中嵌入 for 循环的帮助
- 错误:请求从"常量字符 [5]"转换为非标量类型"字符串"
- 迷你过滤器驱动程序-我应该过滤哪个IRP请求以进行实时病毒防护
