驱动功能:
简单模拟学校机房影子系统的磁盘还原功能,
本驱动实现对D盘的还原,重启电脑后,对D盘的改动都会消失
删掉的文件会恢复,创建的新文件会消失,修改过的文件会恢复等
本驱动是磁盘类过滤驱动,必须在系统引导阶段(boot)启动
win7 32/64 调试运行正常
实现原理:
过滤磁盘收到的IRP请求
对D盘的写请求将转存到E盘的临时文件temp中
对D盘的读请求转换为读D盘原始数据或者读E盘temp中的数据
重启电脑后E盘的临时文件清0,从而对D盘的改动都消失
参考文献:
<寒江独钓-Windows内核安全编程>