直接IRP操作文件的实现问题，其实对于大部分接口（诸如： ZwReadFile、ZwWriteFile、ZwSetInformationFile、ZwDeleteFile等）在OSR上的“ Rolling Your Own - Building IRPs to Perform I/O ”一文中已经实现，但是那里面的实现还不够全。所以，我就翻出了前段时间在网上淘到的资料，特与大家共享！尤其值得注意的是，这里面还实现了ZwCreateFile接口！ 大家都知道使用IRP的好处就是：效

驱动开发中使用到的未公开函数如zwdeletefile等

HOOK ZwCreateFile 配合 ZwDeleteFile 实现监视不许指定文件创建-HOOK ZwCreateFile with monitoring the realization of ZwDeleteFile not create the specified file

inline hook NtSetInformationFile 保护目录或文件-inline hook NtSetInformationFile