FltGetCopyInformationFromCallbackData 関数 (fltkernel.h)
FltGetCopyInformationFromCallbackData ルーチンは、コールバック データ (存在する場合) からコピー情報を取得します。 コピー情報は、 NtCopyFileChunk からの読み取り/書き込み呼び出しの IRP 拡張機能にあります。
構文
NTSTATUS FLTAPI FltGetCopyInformationFromCallbackData(
[in] PFLT_CALLBACK_DATA Data,
[out] PCOPY_INFORMATION CopyInformation
);
パラメーター
[in] Data
コールバック データを保持する FLT_CALLBACK_DATA 構造体へのポインター。
[out] CopyInformation
コピー情報が書き込まれる COPY_INFORMATION 構造体へのポインター。
戻り値
FltGetCopyInformationFromCallbackData は、成功するとSTATUS_SUCCESS、または次のようなエラー コードを返します。
| エラー コード | 意味 |
|---|---|
| STATUS_INVALID_PARAMETER | コールバック データは、IRP 操作用ではありません。 |
| STATUS_NOT_FOUND | コピー情報 IRP 拡張機能が IRP に設定されていません。 |
注釈
NtCopyFileChunk からの信頼された読み取りまたは書き込み操作には、次の機能があります。
- IRP のリクエスタ モードを KernelMode に設定します。
- IopCopyInformationType 型とコピー操作に関する情報を含む IRP 拡張機能。
フィルターは IRP 拡張機能に直接アクセスできませんが、コピー拡張機能の存在をチェックし、FltGetCopyInformationFromCallbackData を呼び出してコピー情報を取得できます。
詳細については、 カーネル モードのファイル コピーとコピー ファイルの検出のシナリオに関する ページを参照してください。
要件
| 要件 | 値 |
|---|---|
| サポートされている最小のクライアント | Windows 11 バージョン 22H2 |
| Header | fltkernel.h |
| IRQL | <= DISPATCH_LEVEL |
こちらもご覧ください
IoCheckFileObjectOpenedAsCopyDestination