我目前正在学习内核,然后我想写一个内核进程监控、注册表监控的驱动A.sys,突然想到好像内核监控到了信息也没有什么官方提供的类似R3 DeviceIoControl的方式去通知我的R3程序。查阅了资料之后发现minifilter,有端口通信的方式可以和R3互动,那么我是否可以编写一个minifilter驱动作为我A.sys和R3的中转站? A.sys 先将消息通知给 minifilter,然后minifilter将信息通过端口通信传给R3或者说我直接不要A.sys了,所有的功能全部写在minifilter当中呢?还有个问题,minifilter我看都叫做文件过滤驱动,如果像我上述说的这么做,我感觉怪怪的还有R0主动通知R3的主流方式是什么?先提前谢谢大哥们的讲解了
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
iamasbcx 可以 有几个杀软就是这样 minifilter端口通信的
