Здравствуйте, ononim, Вы писали:

O>PFILE_OBJECT собственно и является.
O>А почему нельзя проверить desired access в обработчике IRP_MJ_CREATE и отрубить create, если реквестор запросит DELETE или GENERIC_ALL, если ваш драйвер решит что низзя и вернуть access denied именно оттуда? Это классическое поведение и проблем с ним со стороны 3rd parties будет меньше чем с отлупом SET_INFORMATION при успешно проделанном CREATE.

Да мне, собственно, не нужно ничего отрубать, я только логирую. С картой, формируемой на IRP_MJ_CREATE, действительно все работает Спасибо!
Остался последний вопрос, есть ли разница, где именно собирать/очищать карту — на PreOperation или на PostOperation?