делал прозрачную тему для юзермода - чтоб при удалении файл еще и переписывался рандомной инфой - чтоб нельзя было восстановить. хукал NtSetInformationFile (FileDisposition) но поступающий хендл нельзя было заюзать для перезаписи (акцес денайд вроде был) - приходилось открывать его заново, переписывать, закрывать и уж потом передавать управление назад перехватчику. почему так?
Потому что, как правило, при создании хендла запрашивают ровно тот уровень доступа, который требуется для операции. Для удаления файла доступ на запись не нужен, соответственно, его и нет в маске доступа файлового объекта.
