1

我正在开发一个高容量过滤器驱动程序,该驱动程序监视扇区上的写入/修改,然后在我自己的位图中设置该扇区的相应位。我使用 WDK 中提供的 diskperf 示例作为基础。

大多数情况下,一个扇区上的所有写入/修改都会被监控并设置相应的位。我的问题是我的过滤器驱动程序无法监控某些扇区,例如:$MFT、$MFTMirr 等。

但它能够跟踪 $LogFile 的扇区。谁能告诉我需要设置什么样的属性或标志来处理所有类型的写入 IO,以便我的过滤器驱动程序可以跟踪所有扇区,包括系统文件扇区,如 $MFT 和此类文件?

任何形式的帮助将不胜感激。提前致谢。

4

1 回答 1

0

如果您的驱动程序是卷过滤器驱动程序,它应该获得该卷上的所有读/写。但写入$Mft$MftMirror可能不会通过卷驱动程序。NTFS 驱动程序可能通过私有 api 直接写入分区/磁盘,跳过卷堆栈。因此,您不会在驱动程序中看到写入内容。

于 2013-12-03T09:15:58.260 回答