COPY_INFORMATION Struktur (ntifs.h)

Artikel
02/29/2024

Die COPY_INFORMATION-Struktur korreliert Lese- und Schreibaufrufe mit einem Kopiervorgang aus NtCopyFileChunk.

Syntax

typedef struct _COPY_INFORMATION {
  PFILE_OBJECT SourceFileObject;
  LONGLONG     SourceFileOffset;
} COPY_INFORMATION, *PCOPY_INFORMATION;

Member

SourceFileObject

Das Quelldateiobjekt der Kopie.

SourceFileOffset

Der Dateioffset der Quelldatei der Kopie. Dieser Wert kann während des Schreibvorgangs mit dem Dateioffset des Ziels verglichen werden, um sicherzustellen, dass die Kopie vollständig und originalgetreu ist.

Hinweise

Lese- und Schreibvorgänge einer Kopie enthalten dieselben Informationen in den jeweiligen IRP-Erweiterungen, sodass die Korrelation mit COPY_INFORMATION für alle Schreibvorgänge mit der IRP-Erweiterung IopCopyInformationType erfolgen kann.

Wenn die Lese- und Schreibvorgänge korreliert und die kopierten Daten überprüft werden, kann die geschriebene Zieldatei als vollständige und originalgetreue Kopie der Quelle betrachtet werden. Dies bedeutet, dass Die Vertrauensstellung von der Quelldatei an das Ziel übergeben werden kann.

Kopien erfolgen in der Regel in Blöcken. So überprüfen Sie die gesamte Dateikopie:

Für jeden Block (jeder Aufruf von NtCopyFileChunk) muss der Schreibvorgang mit einem vorherigen Lesevorgang korreliert sein.
Alle zusammen kopierten Blöcke sollten den gesamten Bereich der Datei abdecken.

Ein Filter kann die Richtigkeit der kopierten Daten mit den Quellinformationen überprüfen, die in der IRP-Erweiterung des Schreibvorgangs bereitgestellt werden:

Vergewissern Sie sich, dass für SourceFileObject ein übereinstimmende Lesevorgang aufgetreten ist.
Stellen Sie sicher, dass SourceFileOffset mit dem Dateioffset des Schreibvorgangs übereinstimmt.

Weitere Informationen finden Sie unter Kopieren im Kernelmodus und Erkennen von Kopierdateiszenarien .