Здравствуйте, finder2006, Вы писали:

F>>>имеет ли смысл ловить SPTI, если все равно ловлю SCSI-команды на нижнем фильтре устройства, под imapi ?
A_>>Имеет, оно через др. IOCTL идет. А уже scsiport его разбирает и очеловечивает.

F>а какой драйвер за scsiport отвечает ? atapi ?

В NT4 был scsiport (общий), а atapi — miniport к нему (как и все остальные ide и scsi драйвера)
В 2000 сделали для ATA отдельный порт-драйвер PciIde/PciIdex и насколько я понимаю — atapi является миникопрот к кому-то из них.
А еще позже сделали подобную штуку для mass-storage/raid (как зовут — не помню).
Но в любом случае могут существовать в природе драйвера, которые полностью самостоятельно делают всю работу, без port-драйвера.

Т.е. если вы хотите отловить совсем-совсен внизу и исключить возможность прямой передачи команд через драйвер контроллера (минуя cdrom и компанию) —
вам нужно вешаться на bus-driver'а IDE/SCSI/RAID и там все отлавливать.

Но тогда есть еще возможность для совсем хитрых утилит — работать напрямую с устройством через порты контроллера. А совсем хитрые могут это делать еще и не через READ_PORT_XXX/WRITE_PORT_XXX, а просто через IN/OUT.

Так что смотрите, какая степень защиты вам нужна