无论在用户层还是内核层，操作文件的流程基本一致，除了在API函数上的区别（用户层调用用户层API，内核层调用内核API）以外其他基本一致，先讲解一下文件系统执行的流程。实现文件的监控呢，比如当文件被访问时自动触发回调，看如下...

模块是程序加载时被动态装载的，模块在装载后其存在于内存中同样存在一个内存基址，当我们需要操作这个模块时，通常第一步就是要得到该模块的内存基址，模块分为用户模块和内核模块，这里的用户模块指的是应用层进程运行后加载...

Minifilter 是一种文件过滤驱动，该驱动简称为微过滤驱动，相对于传统的sfilter文件过滤驱动来说，微过滤驱动编写时更简单，其不需要考虑底层RIP如何派发且无需要考虑兼容性问题，微过滤驱动使用过滤管理器FilterManager提供接...