IRP_MJ_CREATE 调度例程

Windows 安全检查的主要部分发生在IRP_MJ_CREATE调度例程内。 这是因为 Windows 安全模型的大部分与访问验证相关。 访问验证结果作为此操作的结果而创建的句柄的一部分存储。 后续操作按照此时计算的权限进行验证。

如果文件或目录打开后对该文件的访问权限发生了更改,则在 IRP_MJ_CREATE 操作期间提供的原始访问权限将继续有效。 这些访问权限与句柄相关联,因此只要该句柄仍然存在,则在该句柄下授予的访问控制后续操作。

本节包括下列主题:

检查 IRP_MJ_CREATE 上的遍历权限

检查 IRP_MJ_CREATE 上的其他特殊情况

IRP_MJ_CREATE 上添加审核

管理 IRP_MJ_CREATE 上的访问控制列表

将安全性分配给 IRP_MJ_CREATE 上的新文件

处理 IRP_MJ_CREATE 上的配额