Есть драйвер-фильтр файловой системы. Он создает виртуальный раздел и ассоциирует с ним какой-нить файл. Все что записывается в раздел в итоге оказывается в файле. Мне нужно чтобы драйвер перед записью файлов в раздел еще шифровал их. Файл имеет структуру файловой системы (FAT, FAT32, NTFS по выбору). Как узнать когда файловая система записывает информацию относящуюся к файлам или относящуюся к самой структуре файловой системы.
Полагаю, что через Hooking API. Скажем CreateFile, WriteFile и другие. А там уже обрабатывать указанный файл, если надо и "патчить" адрес передаваемого буфера на тот, куда ты зашифровал выданное содержимое.
