Minifilter和IRP_MJ_DIRECTORY_CONTROL post op

Question

我试图拦截来自Minifilter的特定应用程序对FindFirstFile/ZwQueryDirectoryFile的调用。目标是让应用程序看到一个不存在的文件夹。因此，如果应用程序从一个空文件夹C:\Temp中枚举文件和文件夹，应用程序不应该看到该文件夹是空的，而是应该看到该目录中的一个文件夹(我将在输出结果中提供)。

现在我明白了，我需要修改DirectoryBuffer或MdlAddress指出的Mdl缓冲区。基本上，我需要再向调用方返回一个FILE_BOTH_DIR_INFORMATION结构实例。问题是那些缓冲区有固定的大小，所以我不能在其中添加任何东西。

所以我的问题是：

1. 我有什么选择。我是否应该从非分页池中分配更大的内存，并在post操作中替换DirectoryBuffer指针(与Mdl相同)？调用者是否能够访问该内存？
2. 如果是这样的话，我应该如何处理原始缓冲区，我应该释放它吗？
3. 如果不是，如何在用户模式下将更大的缓冲区返回给调用方？

我迷路了，任何帮助都将不胜感激。

谢谢

Answer 1

您不需要分配更大的内存。如果内存没有添加文件信息的空间，则只需返回STATUS_SUCCESS。如果它有空闲空间，添加您的文件信息并返回STATUS_NO_MORE_FILES。