SwapBuffer驱动进阶（一）

之前通过阅读swapbuffer的read的部分代码，基本上弄明白了缓存交换的原理。

        那么我们怎么做到文件的透明加解密，直接使用其缓存交换的方式来实现呢，目前参考了Antinvader, 有一个步骤是肯定要做的，那就是在Create的Post中，添加文件流的上下文，这样才能知道你打开的文件，是不是在read中确认是你需要处理的问题，因为在Read中的FileName是不准确的，例如：打开的"\111.txt", 在Create中路径是正确的，但是在Read回调函数中，可能就是系统的缓存的文件了，根本找不到“\111.txt”这个路径。

         我们开始改造SwapBuffer代码，在其回调中添加如下代码：

FLT_PREOP_CALLBACK_STATUS

SwapPreCreate(

__inout PFLT_CALLBACK_DATA Data,

__in PCFLT_RELATED_OBJECTS FltObjects,

__deref_out_opt PVOID *CompletionContext

)

{

//NTSTATUS status;

UNREFERENCED_PARAMETER(FltObjects);

UNREFERENCED_PARAMETER(Data);

UNREFERENCED_PARAMETER(CompletionContext);

UNICODE_STRING MyVolumeName;

RtlInitUnicodeString(&MyVolumeName, L"\\1111\\1111.txt");

if (0 != RtlCompareUnicodeString(&FltObjects->FileObject->FileName, &MyVolumeName, TRUE))

{

return FLT_PREOP_SUCCESS_WITH_CALLBACK;    

}

returnFLT_PREOP_SUCCESS_WITH_CALLBACK;      -----可以在这里添加断点，这样每次对这个文件的操作，都会断住

}

////下面这个就是WITH_CALLBACK的话，才会调用。

FLT_POSTOP_CALLBACK_STATUS

SwapPostCreate(

__inout PFLT_CALLBACK_DATA Data,

__in PCFLT_RELATED_OBJECTS FltObjects,

__in_opt PVOID CompletionContext,

__in FLT_POST_OPERATION_FLAGS Flags

)

{

UNREFERENCED_PARAMETER(Data);

UNREFERENCED_PARAMETER(FltObjects);

UNREFERENCED_PARAMETER(CompletionContext);

UNREFERENCED_PARAMETER(Flags);

UNICODE_STRING MyVolumeName;

RtlInitUnicodeString(&MyVolumeName, L"\\1111\\1111.txt");

if (0 != RtlCompareUnicodeString(&FltObjects->FileObject->FileName, &MyVolumeName, TRUE))

{

return FLT_POSTOP_FINISHED_PROCESSING;

}

return FLT_POSTOP_FINISHED_PROCESSING; 

}

上面的代码，就是两个回调的最简单的实现。

这个主要是为了分析在Create的时候是不是有我们操作的真正的文件路径，经过测试发现，是有的！