struktur COPY_INFORMATION (ntifs.h)

  • Artikel

Struktur COPY_INFORMATION menghubungkan panggilan baca dan tulis ke operasi salin dari NtCopyFileChunk.

Sintaks

typedef struct _COPY_INFORMATION {
  PFILE_OBJECT SourceFileObject;
  LONGLONG     SourceFileOffset;
} COPY_INFORMATION, *PCOPY_INFORMATION;

Anggota

SourceFileObject

Objek file sumber salinan.

SourceFileOffset

Offset file dari file sumber salinan. Nilai ini dapat dibandingkan dengan offset file tujuan selama penulisan untuk memastikan salinan selesai dan setia.

Keterangan

Operasi baca dan tulis salinan berisi informasi yang sama dalam ekstensi IRP masing-masing, sehingga korelasi dapat dilakukan menggunakan COPY_INFORMATION untuk semua penulisan yang memiliki ekstensi IRP IopCopyInformationType .

Jika operasi baca dan tulis berkorelasi dan data yang disalin diverifikasi, file tujuan tertulis dapat dianggap sebagai salinan sumber yang lengkap dan setia. Ini berarti kepercayaan dapat diteruskan dari file sumber ke tujuan.

Salinan umumnya terjadi dalam gugus. Untuk memvalidasi seluruh salinan file:

  • Setiap gugus (setiap panggilan ke NtCopyFileChunk) harus memiliki operasi tulis yang berkorelasi dengan operasi baca sebelumnya.

  • Semua gugus yang disalin bersama-sama harus mencakup seluruh rentang file.

Filter dapat memverifikasi kebenaran data yang disalin dengan informasi sumber yang disediakan dalam ekstensi IRP tulis sebagai berikut:

  • Verifikasi bahwa pembacaan yang cocok terjadi pada SourceFileObject.
  • Verifikasi bahwa SourceFileOffset cocok dengan offset file operasi tulis.

Lihat Penyalinan file mode kernel dan mendeteksi skenario salin file untuk informasi selengkapnya.

Persyaratan

Persyaratan Nilai
Klien minimum yang didukung Windows 11, versi 22H2
Header ntifs.h

Lihat juga

FltGetCopyInformationFromCallbackData

IoCheckFileObjectOpenedAsCopySource

IoCheckFileObjectOpenedAsCopyDestination

NtCopyFileChunk

NtCreateFile