请假一下，ddk里面storage下面的类驱动disk.sys是不是system32下的disk

我用devicetree看了系统的disk，是注册了read，write派发的，为什么ddk里面的disk没有注册呢？？不是一个东西？btw：我想替换系统disk做还原，同时禁止fs_getretrievepointer的查询，并且启动后禁止再add disk和volume设备，请问高手还怎么穿透我？disk的lower好像已经不能read，write了，直接build fsd应该已经没戏了，高手来探讨一下

如果你不控制别人的驱动加载,要穿透你只是时间问题,BTW,DISK层太高了,下面可发IRP的东西还多的很,更别说直接IO了,虽然后者在稳定性上存在一定的问题,但用来做破坏,已经足够了,嘿嘿......

diak的read,write实际是由classpnp接管，classpnp将其转化为scsi请求并下发（根据接口不同有所不同，例如是atapi.sys,或者usbuhci.sys等等）
现在病毒已有build scsi请求的了