Здравствуйте, EreTIk, Вы писали:

ETI>Здравствуйте, sergey77666, Вы писали:

S>>Необязательно "глобальный", пойдет любой уникальный ид, при IRP_MJ_READ, IRP_MJ_WRITE и IRP_MJ_CLEANUP (закрытие файла).
S>>Просто надо отличать открытый файл от других, а делать это по имени ненадежно.

ETI>FLT_RELATED_OBJECTS::FileObject создается при создании/открытии и не меняется до cleanup'а. Собственно, именно к FILE_OBJECT'у и привязывается отдаваемый в user mode описатель (HANDLE).

Его самого использовать как хендл, что ли? Сделали бы лучше поле внутри него, а то чушь какая-то... Отстой эти фильтры, хуки таки лучше были. Лучше бы к хукам дописали готовые алгоритмы их фильтрования.