윈도우 미니필터 공부
미니필터 => 파일 생성, 읽기, 쓰기, 삭제, 이름 변경과 같은 I/O 요청을 가로채거나 감시하는 드라이버
Ex) 랜섬웨어 방지, 백신, 파일보호 등
앱 -> Win32 API -> NTFS/FAT 등 요청 -> FltMgr -> 미니필터 -> 실 파일시스템
=> 직접 디스크 제어 X, I/O 요청 흐름에 개입
IRP / 주요 함수
- IRP_MJ_CREATE : 파일 열기/생성
- IRP_MJ_READ : 읽기
- IRP_MJ_WRITE : 파일 쓰기
- IRP_MJ_SET_INFORMATION : 이름변경 / 삭제
- IRP_MJ_CLEANUP
- IRP_MJ_CLOSE
위 이벤트에 대해 미니필터가 콜백을 등록.
PreCreate(...) // 요청 처리 전
PostCreate(...) // 요청 처리 후 결과 확인Altitude : 필터 드라이버 우선순위
Instance : 볼륨별 장착(각 드라이브에 인스턴스 생성 가능)
Context : 파일 별 상태 기록
User <-> Kernel 통신
FltCreateCommunicationPort사용해서 사용자 프로그램과 연결
이름 얻기
FltGetFileNameInformation
👋