Драйвер минифильтра. Какой запрос IRP следует фильтровать для защиты от вирусов в реальном времени?
После того как я посмотрел на примере MS (Драйвер Minifilter для файловой системы сканера). Я заметил, что они используют только IRP_MJ_CREATE, IRP_MJ_WRITE, IRP_MJ_CLEANUP, Хватит ли этого для защиты в реальном времени?
Решение
Все записи в файл пройдут IRP_MJ_WRITE, Поэтому, если вы сканируете файл / данные по этому пути, вы можете быть совершенно уверены, что новый файл / данные не содержат вирусов.
Но убедитесь, что вы фильтруете ВСЕ функции записи (например, запись файлов с отображением в память и т. д.). Лучше / обязательнее будет фильтровать пейджинговый ввод-вывод тоже.
Как только он удостоверился, что файлы на диске не содержат вирусов, сканирование их во время чтения является излишним.
Однако при этом, если в системе уже есть вирусный файл, он не будет перехвачен. Но не думайте, что это требуется для защиты в реальном времени.
Другие решения
Других решений пока нет …