Здравствуйте, Alter_, Вы писали:

A_>Здравствуйте, kirill_kl, Вы писали:

_>>Имя файла в данном случае определить нельзя. На таком низком уровне оперции происходят с блоками данных, а не с файлами. Имя файла можно было бы определить, если бы это был фильтр к драйверу файловой системы.
A_>Ну можно где-нибудь сбоку выяснить размещение файлов на диске (full scan, однако) и от этого плясать.
A_>Но непонятно, что делать с метаданными и короткими файлами, которые лежат в одном секторе со своим дескриптором.
A_>Так что FSFilter и отлов запросов NonBuffered и/или PagingIo в IRP_MJ_READ/WRITE вам поможет.
A_>Есть FileMon имени Руссиновича и filespy вместе с sfilter'ом имени IFS/DDK. Замечательно подходят в качестве заготовки.

Спасибо, но думаю до фильтра fs не дойдет...