驱动开发：内核监控FileObject文件回调

本篇文章与上一篇文章`《驱动开发：内核注册并监控对象回调》`所使用的方式是一样的都是使用`ObRegisterCallbacks`注册回调事件，只不过上一篇博文中`LyShark`将回调结构体`OB_OPERATION_REGISTRATION`中的`ObjectType`填充为了`PsProcessType`和`PsThreadType`格式从而实现监控进程与线程，本章我们需要将该结构填充为`IoFileObjectType`以此来实现对文件的监控，文件过滤驱动不仅仅可以用来监控文件的打开，还可以用它实现对文件的保护，一旦驱动加载则文件是不可被删除和改动的。
分享文章：驱动开发：内核监控FileObject文件回调
分享URL：http://cdkjz.cn/article/dsoieep.html