Здравствуйте, okman, Вы писали:

O>Здравствуйте, sergey77666, Вы писали:

S>>Необязательно "глобальный", пойдет любой уникальный ид, при IRP_MJ_READ, IRP_MJ_WRITE и IRP_MJ_CLEANUP (закрытие файла).
S>>Просто надо отличать открытый файл от других, а делать это по имени ненадежно.

O>Аналогом хэндлов в минифильтрах являются FILE_OBJECT-ы.
O>Результатом двух разных операций Nt/ZwCreateFile будут два разных FILE_OBJECT-а.

И это печально.

O>Также рекомендую заглянуть сюда:

Не вижу смысла сейчас этим заниматься.
Я просто делаю связный список с ключом по хендлу, в который сперва записывается информация при каждом чтении\записи о каждом файле отдельно, затем при закрытии этого самого файла извлекается оттуда и передается на логгер.

O>Ну начнем с того, что хуки уже лет десять как (с x64 Windows Vista) просто тупо не функциональны из-за Patch Guard.

Так потому и пишу "были", а не "есть".
Хотя на виртуалке с Windows 10 x64 все работало.
Вот тот исходник: https://github.com/mrexodia/TitanHide
Возможно, кто-то заинтересуется. Возможно, кто-то прокомментирует.