0

在我查看了 MS 示例(扫描仪文件系统 Minifilter 驱动程序)之后。我注意到他们只使用IRP_MJ_CREATE, IRP_MJ_WRITE, IRP_MJ_CLEANUP。是否足以进行实时保护?

4

1 回答 1

0

所有文件写入都将通过IRP_MJ_WRITE. 因此,如果您扫描此路径中的文件/数据,您可以相当确定新文件/数据不包含病毒。

但请确保过滤所有写入功能(如写入内存映射文件等)。更好/需要也过滤分页 IO。

一旦确定磁盘上的文件不包含病毒,在读取期间扫描它们是多余的。

但是,如果系统上已经存在病毒文件,则不会被捕获。但不要认为这是实时保护所必需的。

于 2013-04-25T05:51:04.597 回答