Copiar arquivo no modo kernel e detectar cenários de arquivo de cópia
A capacidade de fazer a cópia de arquivo confiável no modo kernel foi introduzida no Windows 11, versão 22H2, incluindo a capacidade de filtros detectarem facilmente cenários de cópia. Essa funcionalidade é particularmente útil para AVs (filtros antivírus), permitindo que eles determinem se podem adiar ou ignorar totalmente a verificação dos arquivos de origem e de destino durante a cópia.
Para garantir que as operações de leitura e gravação no modo kernel sejam marcadas com segurança como parte de uma operação de cópia:
O sinalizador FILE_CONTAINS_EXTENDED_CREATE_INFORMATION e a estrutura EXTENDED_CREATE_INFORMATION foram adicionados para sinalizar a intenção de cópia no momento da criação por meio de NtCreateFile. A estrutura EXTENDED_CREATE_INFORMATION atua como um wrapper em torno do parâmetro EaBuffer existente do NtCreateFile.
Quando o sinalizador FILE_CONTAINS_EXTENDED_CREATE_INFORMATION é especificado, o gerente de E/S interpreta os parâmetros EaBuffer e EaLength como uma estrutura EXTENDED_CREATE_INFORMATION e analisa os campos dessa estrutura como se fossem fornecidos diretamente ao NtCreateFile. Os filtros subjacentes não sofrerão nenhuma alteração no comportamento de atributos estendidos.
IoCheckFileObjectOpenedAsCopySource e IoCheckFileObjectOpenedAsCopyDestination foram adicionados para filtros para marcar se um arquivo foi aberto para intenção de cópia.
NtCopyFileChunk foi adicionado para fazer a cópia do modo kernel.
Todas as operações de leitura e gravação do NtCopyFileChunk terão:
- O modo solicitante do IRP definido como KernelMode
- Uma extensão IRP do tipo IopCopyInformationType.
Os filtros não têm acesso diretamente às extensões IRP, mas podem marcar a presença dessa extensão e obter informações de cópia dos dados de retorno de chamada chamando FltGetCopyInformationFromCallbackData.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de