11-20-2015
接触了一个文件操作日志收集的项目,该项目的驱动基于minifilter。驱动里,只是很简单地把驱动中收集到的日志原样转送到应用层,具体的过滤操作放到应用层。个人觉得这样大大限制了软件的性能。大部分无用的日志本可以在驱动中完成过滤,避免不必要的性能消耗,故而有此项目。 此项目旨在收集wingdows下文件操作日志,并且还原记录为真实操作。比如一个不同卷之间的move操作,windows会分解为许多操作,发送的IRP一般会有create、read、write、attribute、cleanup、close、delete等,本程序会将他们合并记录为一个move记录。此外,会尽量提高程序运行性能,减少不必要的性能消耗。
由于只在业余时间进行开发,而且对WDK不是很熟悉,开发速比较慢。
12-12-2016
还没养成写开源软件的习惯,时间被各种各样的事情浪费了。