Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
在我查看了 MS 示例(扫描仪文件系统 Minifilter 驱动程序)之后。我注意到他们只使用IRP_MJ_CREATE, IRP_MJ_WRITE, IRP_MJ_CLEANUP。是否足以进行实时保护?
IRP_MJ_CREATE
IRP_MJ_WRITE
IRP_MJ_CLEANUP
所有文件写入都将通过IRP_MJ_WRITE. 因此,如果您扫描此路径中的文件/数据,您可以相当确定新文件/数据不包含病毒。
但请确保过滤所有写入功能(如写入内存映射文件等)。更好/需要也过滤分页 IO。
一旦确定磁盘上的文件不包含病毒,在读取期间扫描它们是多余的。
但是,如果系统上已经存在病毒文件,则不会被捕获。但不要认为这是实时保护所必需的。