帖子主题: 《如何InlineHook IoCallDriver来保护文件》一文的补遗

由于没有防止修改文件内容来删除文件,所以重新修改代码使其能防止修改文件内容来删除文件，由于代码上传不上去，所以把代码贴出来，希望大家对本人的文章提出更多的建议，谢谢大家！
修改源代码的部分如下，大家用它替换原文件的IsNeedProtect函数即可，重新编译就可以哪：

int IsNeedProtect(DEVICE_OBJECT *DeviceObject, PIRP Irp)
{
  NTSTATUS status;
  int nResult=FALSE;
  DRIVER_OBJECT *DriverObject=DeviceObject->DriverObject;
  WCHAR *pwsz=NULL;
  IO_STACK_LOCATION *sp;
  FILE_OBJECT *FileObject=NULL;
  
  status=STATUS_INVALID_PARAMETER;
  sp=IoGetNextIrpStackLocation(Irp);;
  

  switch(sp->MajorFunction)
  {
  case IRP_MJ_SET_INFORMATION:
  goto Continue11;
  
  case IRP_MJ_WRITE:
  goto Continue11;
  
  default:
  goto Exit00;
  }
  
  Continue11:
  FileObject=sp->FileObject;
  _try
  {
    pwsz=wcsrchr(DriverObject->DriverName.Buffer,L'\\');
        pwsz++;
        
        //判断Irp是不是发往ntfs和fastfat驱动的,不是则跳出
        if (_wcsnicmp(pwsz,L"ntfs",4)&&_wcsnicmp(pwsz,L"fastfat",7))
        {
        goto Exit00;
        }
        
   DbgPrint("IofCallDriver:Delete File:%ws\n",FileObject->FileName.Buffer);

   pwsz=wcsrchr(FileObject->FileName.Buffer,L'\\');
   if (pwsz!=NULL)
   {
   pwsz++;
   }
  

   if (!_wcsnicmp(pwsz,L"1234.txt",16))
   {
    Irp->IoStatus.Information=0;
        Irp->IoStatus.Status=STATUS_ACCESS_DENIED;
        IoCompleteRequest(Irp,IO_NO_INCREMENT);
        nResult=TRUE;
        goto Exit00;
   }

  }

  except(1)
  {
  goto Exit00;
  }

Exit00:
  return nResult;
}

thank，楼主的代码正是我需要的。

不错啊~呵呵~