扩展文件头记录文件加密信息

  看到很多坛友讨论这个问题。我来半梦农夫。

需要处理的IRP:
1、IRP_MJ_CREATE
2、IRP_MJ_READ   (偏移量加上文件头大小)
3、IRP_MJ_WRITE  (偏移量加上文件头大小)
4、IRP_MJ_DIRECTORY_CONTROL  ( 将EndOfFile减小文件头大小)
5、IRP_MJ_QUERY_INFORMATION (将EndOfFile减小文件件头大小)
6、IRP_MJ_SET_INFORMATION (将EndOfFile增加文件件头大小)
7、IRP_MJ_CLEANUP   (如果涉及到加解密，这里把Cache清除掉)

如果涉及到内存影射文件，在过滤驱动失效前一定要让创建影射的进程把影射关闭掉。




 

你的意思是改变文件的大小，加密标记在文件头部，是吧，处理上面这些能完全解决问题吗？

过滤驱动重启计算机才失效的话不就没有最后那句话了，如果要动态装、卸载才考虑吧