Как определить событие открытия файла через мини-фильтр?
Я не знаю, почему я не могу найти простой ответ на вопрос "Как определить событие открытия файла с помощью мини-фильтра?"
В документах Microsoft объясняется, что:
Диспетчер ввода / вывода отправляет
IRP_MJ_CREATEзапросить, когда создается новый файл или каталог, или когда открывается существующий файл, устройство, каталог или том.
Вопрос в том, когда IRP_MJ_CREATE Можно ли определить, является ли это результатом открытия существующего файла?
И если я могу, могу ли я определить имя файла, который открывается, и какая учетная запись AD открыла его?