FltGetCopyInformationFromCallbackData 函数 (fltkernel.h)
FltGetCopyInformationFromCallbackData 例程从回调数据中检索复制信息(如果存在)。 复制信息位于来自 NtCopyFileChunk 的读/写调用的 IRP 扩展中。
语法
NTSTATUS FLTAPI FltGetCopyInformationFromCallbackData(
[in] PFLT_CALLBACK_DATA Data,
[out] PCOPY_INFORMATION CopyInformation
);
参数
[in] Data
指向保存回调数据的 FLT_CALLBACK_DATA 结构的指针。
[out] CopyInformation
指向将向其写入复制信息 COPY_INFORMATION 结构的指针。
返回值
FltGetCopyInformationFromCallbackData 在成功后返回STATUS_SUCCESS,或返回如下所示的错误代码。
| 错误代码 | 含义 |
|---|---|
| STATUS_INVALID_PARAMETER | 回调数据不适用于 IRP 操作。 |
| STATUS_NOT_FOUND | 未在 IRP 上设置复制信息 IRP 扩展。 |
注解
来自 NtCopyFileChunk 的任何受信任读取或写入操作将具有以下各项:
- IRP 的请求程序模式设置为 KernelMode。
- 具有 IopCopyInformationType 类型和 复制操作相关信息的 IRP 扩展。
筛选器不能直接访问 IRP 扩展,但可以检查是否存在复制扩展,并通过调用 FltGetCopyInformationFromCallbackData 获取复制信息。
有关详细信息 ,请参阅内核模式文件复制和检测复制文件方案 。
要求
| 要求 | 值 |
|---|---|
| 最低受支持的客户端 | Windows 11 版本 22H2 |
| 标头 | fltkernel.h |
| IRQL | <= DISPATCH_LEVEL |
另请参阅
IoCheckFileObjectOpenedAsCopyDestination