-
-
[求助]用sfilter替换minifilter能解决这个跨卷重定位问题吗
-
发表于:
2017-12-7 15:44
2613
-
[求助]用sfilter替换minifilter能解决这个跨卷重定位问题吗
问题描述:
{
把HarddiskVolume1\ 文件 a 重命名 为 b
重定位目录在HarddiskVolume2 中
因为用的是STATUS_REPARSE文件对象的文件名被修改了
所以IOManager认为文件在HarddiskVolume2中,重命名的目标文件名却在HarddiskVolume1中,因为IOManager认为是个跨卷的操作,所以不会发送IRP_MJ_SETINFORMATION给我的过滤驱动。
}
网上查了下建议用户层hook MoveFile来解决这个问题。
可不可以直接在IRP_MJ_CREATE 的PreOP 中直接调用FltCreateFile去读取目标文件返回目标句柄给用户层,从而不替换文件名从而绕过这个问题呢,调用FltCreateFileEx把OUT的FileObject参数填写成CallBackDate的TargetFileObject,关闭掉OUT的handle,然后直接返回Flt_PREOP_COMPLETE能不能实现。
用SFilter能拦截到IOManager对重命名的处理吗
[培训]科锐逆向工程师培训第53期2025年7月8日开班!
