1

セクターへの書き込み/変更を監視し、そのセクターのそれぞれのビットを自分のビットマップに設定する上位ボリューム フィルター ドライバーに取り組んでいます。WDK で提供されている diskperf の例をベースとして使用しています。

ほとんどの場合、セクター上のすべての書き込み/変更が監視され、それぞれのビットが設定されます。私の問題は、フィルタードライバーが特定のセクターを監視できないことです。たとえば、$MFT、$MFTMirr などです。

しかし、$LogFile のセクターを追跡することはできます。フィルタ ドライバが $MFT などのシステム ファイル セクタやそのようなファイルを含むすべてのセクタを追跡できるように、すべてのタイプの書き込み IO を処理するために設定する必要がある属性またはフラグの種類を教えてください。

あらゆる種類の助けをいただければ幸いです。前もって感謝します。

4

1 に答える 1

0

ドライバーがボリューム フィルター ドライバーの場合、そのボリュームですべての読み取り/書き込みを取得する必要があります。ただし、ボリューム ドライバーへの書き込み$Mftまたは$MftMirrorボリューム ドライバーを経由しない可能性があります。NTFS ドライバーは、ボリューム スタックをスキップして、プライベート API を介してパーティション/ディスクに直接書き込みを行っている可能性があります。したがって、ドライバーに書き込みが表示されません。

于 2013-12-03T09:15:58.260 に答える