Minifilter: Заблокировать приложения с уведомлением

Question

Я пишу минифильтр, чтобы заблокировать выполнение приложения. Minifilter запросит сканирование файлов на IRP_MJ_CREATE в приложениях usermode. Приложение usermode будет проверять, разрешать ли выполнение файла PE (.exe/.dll/etc) или нет.

В настоящее время, когда приложения usermode говорят «нет», мини-фильтр выдаст статус отказа в доступе и отменит открытие файла. (Да, с помощью FltCancelFileOpen)

Проблема при выдаче доступа Отказано возвращаемое значение, с точки зрения пользователя, они получат окно сообщения из системы, как это:

Другой пример, когда блокировать конкретные DLL из загружаемых, другой MessageBox появится:

То, что я хочу сделать это до сих пор отрицает открытым, но подавить окно сообщения и иметь уведомление о моем собственных, которая является удобным для пользователя ERR или сообщение о том, что приложения были заблокированы. Пример подобен функции smartscreen от Windows 8, которая будет уведомлять пользователя при запуске заблокированного exe без какого-либо сообщения с сообщением об отказе в доступе или подобном.

Как я могу это сделать?

Answer 1

Давайте рассмотрим пример DLL. Вы получаете эту ошибку, потому что есть код в эквивалентном Windows, чтобы

if (!LoadLibrary(szDllName)) 
{ 
    MessageBox("Application Error", ...); 
} 
else 
{ 
    DllMain = GetProcAddress("DllMain"); 
    DllMain(DLL_PROCESS_ATTACH); 

Так что, если вы не хотите, чтобы первая ветвь коды, которые необходимо принять, вы должны позволить DLL для загрузки. Третьего варианта нет.

Пример Windows 8 вводит в заблуждение. Если вы Microsoft, конечно, вы можете добавить этот третий вариант.

С другой стороны, вы отменили операцию, используя FltCancelFileOpen? Если нет, то как вы это сделали?