关于额外创建参数 (ECP)

(ECP) 的额外创建参数是可以包含文件创建的其他信息的结构。 创建操作可以具有任意数量的 ECP，这些 ECP 使用 ECP_LIST附加到操作。 ECP_LIST 是在 ntifs.h 中声明的不透明结构。

有两种类型的 ECP：

• 系统定义的 ECP。 操作系统组件使用系统定义的 ECP 将其他信息与对文件的 IRP_MJ_CREATE 操作相关联。

• 用户定义的 (或驱动程序定义的) ECP。 在以下情况下，驱动程序还可以使用 ECP 处理其他信息或将其他信息与文件中的IRP_MJ_CREATE操作相关联：

  • 当内核模式驱动程序调用 FltCreateFileEx2 或 IoCreateFileEx 例程来创建或打开文件时。

  • 当文件系统筛选器驱动程序处理文件的 IRP_MJ_CREATE 操作时

以下部分介绍如何定义、附加和使用 ECP，并列出系统定义的 ECP。

• 将 ECP 附加到内核模式驱动程序发起IRP_MJ_CREATE操作

• 使用 ECP 处理文件系统微筛选器中的IRP_MJ_CREATE操作

• 用户定义的 ECP

• 系统定义的 ECP