请问过滤文件驱动中，一般如何实现对我们指定目录或者文件的过滤？

各位：
          在文件过滤驱动中，我们一般如何实现对指定目录或者文件应用我们的过滤规则，即如何将需要过滤的目录或者文件路径传递给驱动程序，从而实现我们的功能？谢谢！

你也在做这个吗？我这段时间一直在做，基本功能已经实现了，有机会可以一起交流

我也要，我刚开始学这个，很多地方都不是很理解，希望交流下
我的Email是 boywhp@126.com
可否帮我看看 http://bbs.driverdevelop.com/htm_data/39/0708/104958.html
要不可否发份源码学习下？我就只要监控C盘的就可以了

http://bbs.driverdevelop.com/htm_data/39/0708/105032.html
我刚搞完 呵呵，发你一点资料，我google的还没有研究呢，先提供你研究;-)
  1   异步过程调用(APC)  
    
  　　Win32应用程序使用CreateFile()函数动态加载设备驱动程序，然后定义一个回调函数backFunc()，并且将回调函数的地址&backFunc()作为参数，通过DeviceIoControl()传送给设备驱动程序。设备驱动程序获得回调函数的地址后，将它保存在一个全局变量（如callback）中，同时调用Get_Cur_Thread_Handle()函数获取它的应用程序线程的句柄，并且将该句柄保存在一个全局变量（如appthread）中。当条件成熟时，设备驱动程序调用_VWIN32_QueueUserApc()函数，向Win32应用程序发送消息。这个函数带有三个参数：第一个参数为回调函数的地址（已经注册）；第二个参数为传递给回调函数的消息；第三个参数为调用者的线程句柄（已经注册）。Win32应用程序收到消息后，自动调用回调函数（实际是由设备驱动程序调用）。回调函数的输入参数是由设备驱动程序填入的，回调函数在这里主要是对消息进行处理。  
    
  2   事件方式（VxD）  
    
  　　首先，Win32应用程序创建一个事件的句柄，称其为Ring3句柄。由于虚拟设备驱动程序使用事件的Ring0句柄，因此，需要创建Ring0句柄。用LoadLibrary()函数加载未公开的动态链接库Kernel32.dll，获得动态链接库的句柄。然后，调用GetProcAddress(),   找到函数OpenVxDHandle()在动态链接库中的位置。接着，用OpenVxDHandle()函数将Ring3事件句柄转化为Ring0事件句柄。Win32应用程序用CreateFile()函数加载设备驱动程序。如果加载成功，则调用DeviceIoControl()函数将Ring0事件句柄传给VxD；同时，创建一个辅助线程等待信号变成有信号状态，本身则可去干其它的事情。当条件成熟时，VxD置Ring0事件为有信号状态（调用_VWIN32_SetWin32Event()函数），这马上触发对应的Ring3事件为有信号状态。一旦Ring3事件句柄为有信号状态，Win32应用程序的辅助线程就对这个消息进行相应的处理。  
    
  3   消息方式  
    
  　　Win32应用程序调用CreateFile()函数动态加载虚拟设备驱动程序。加载成功后，通过调用DeviceIoControl()函数将窗体句柄传送给VxD，VxD利用这个句柄向窗体发消息。当条件满足时，VxD调用SHELL_PostMessage()函数向Win32应用程序发送消息。要让该函数使用成功，必须用#define来自定义一个消息，并且也要照样在应用程序中定义它；还要在消息循环中使用ON_MESSAGE()来定义消息对应的消息处理函数，以便消息产生时，能够调用消息处理函数。SHELL_PostMessage()函数的第一个参数为Win32窗体句柄，第二个参数为消息ID号，第三、四个参数为发送给消息处理函数的参数，第五、六个参数为回调函数和传给它的参数。Win32应用程序收到消息后，对消息进行处理。    
    
  4   异步I/O方式  
    
  　　Win32应用程序首先调用CreateFile()函数加载设备驱动程序。在调用该函数时，将倒数第2个参数设置为FILE_ATTRIBUTE_NORMAL|FILE_FLAG_   OVERLAPPED，表示以后可以对文件进行重叠I/O操作。当设备驱动程序文件创建成功后，创建一个初始态为无信号、需要手动复位的事件，并且将这个事件传给类型为OVERLAPPED的数据结构（如Overlapped）。然后，将Overlapped作为一个参数，传给DeviceIoControl()函数。设备驱动程序把这个I/O请求包（IRP）设置为挂起状态，并且设置一个取消例程。如果当前IRP队列为空，则将这个IRP传送给StartIo()例程；否则，将它放到IRP队列中。设备驱动程序做完这些工作后，结束这个DeviceIoControl()的处理，于是Win32应用程序可能不等待IRP处理完，就从DeviceIoControl()的调用中返回。通过判断返回值，得到IRP的处理情况。如果当前IRP处于挂起状态，则主程序先做一些其它的工作，然后调用WaitForSingleObject()或WaitForMultipleObject()函数等待Overlapped中的事件成为有信号状态。设备驱动程序在适当的时候处理排队的IRP，处理完成后，调用IoCompleteRequest()函数。该函数将Overlapped中的事件设置为有信号状态。Win32应用程序对这个事件马上进行响应，退出等待状态，并且将事件复位为无信号状态，然后调用GetOverlappedResult()函数获取IRP的处理结果。  
    
  5   事件方式（WDM）  
    
  　　Win32应用程序首先创建一个事件，然后将该事件句柄传给设备驱动程序，接着创建一个辅助线程，等待事件的有信号状态，自己则接着干其它事情。设备驱动程序获得该事件的句柄后，将它转换成能够使用的事件指针，并且把它寄存起来，以便后面使用。当条件具备后，设备驱动程序将事件设置为有信号状态，这样应用程序的辅助线程马上知道这个消息，于是进行相应的处理。当设备驱动程序不再使用这个事件时，应该解除该事件的指针。  
   

wisebo, 我也在做这个，基本功能已经实现，但有个别问题解决不了，有联系方式吗，交流一下？我的msn：white_dove3000@hotmail.com

我的邮箱是wiseboy601710@163.com,有机会一起交流,我现在也遇到老多问题