FltGetCopyInformationFromCallbackData ルーチンは、コールバック データ (存在する場合) からコピー情報を取得します。 コピー情報は、NtCopyFileChunkから取得した読み取り/書き込み呼び出しIRP 拡張機能にあります。
構文
NTSTATUS FLTAPI FltGetCopyInformationFromCallbackData(
[in] PFLT_CALLBACK_DATA Data,
[out] PCOPY_INFORMATION CopyInformation
);
パラメーター
[in] Data
コールバック データを保持する FLT_CALLBACK_DATA 構造体へのポインター。
[out] CopyInformation
コピー情報が書き込まれる COPY_INFORMATION 構造体へのポインター。
戻り値
FltGetCopyInformationFromCallbackData 、成功するとSTATUS_SUCCESSまたは次のようなエラー コードが返されます。
| エラー コード | 意味 |
|---|---|
| STATUS_INVALID_PARAMETER | コールバック データは IRP 操作用ではありません。 |
| STATUS_NOT_FOUND | コピー情報 IRP 拡張機能が IRP に設定されていません。 |
備考
NtCopyFileChunkからの信頼された読み取りまたは書き込み操作、次の処理が行われます。
- IRP のリクエスタ モードが KernelMode に設定されます。
- IopCopyInformationType 型を持つ IRP 拡張機能で、コピー操作 に関する情報をします。
フィルターは IRP 拡張機能に直接アクセスできませんが、FltGetCopyInformationFromCallbackData 呼び出すことによって、コピー拡張機能の存在を確認し、コピー情報を取得できます。
詳細については、カーネル モードのファイルコピーとファイルのコピーの検出シナリオ を参照してください。
必要条件
| 要件 | 価値 |
|---|---|
| サポートされる最小クライアント | Windows 11 バージョン 22H2 |
| ヘッダー | fltkernel.h |
| IRQL | <= DISPATCH_LEVEL |
関連項目
IoCheckFileObjectOpenedAsCopyDestinationの
IoCheckFileObjectOpenedAsCopySourceの
NtCopyFileChunkの
NtCreateFileをする