微過濾器：阻止應用程序通知

Question

我在寫微過濾器來阻止應用程序執行。微過濾器將向用戶模式應用程序請求IRP_MJ_CREATE上的文件掃描。 usermode應用程序將掃描是否允許執行PE文件（.exe/.dll/etc）或否。

目前，當用戶模式應用程序顯示「否」時，微過濾器將發出拒絕訪問狀態並取消打開的文件。發出拒絕訪問返回值時（是的，使用FltCancelFileOpen）

問題是，從用戶角度出發，他們將得到一個消息框，從系統是這樣的：

又如，阻斷特定的時被加載的DLL，另一個消息框會出現：

我想做到的是仍然拒絕開放，但禁止該消息框，並有自己的通知，這是一個用戶友好的ERR或表示應用程序被阻止的消息。例子就像Windows 8智能屏幕功能，它會在運行被阻止的exe文件時通知用戶，而沒有任何消息框表示訪問被拒絕或類似。

我該怎麼做？

Answer 1

我們來看看DLL的例子。你得到這個錯誤，因爲有代碼在Windows相當於

if (!LoadLibrary(szDllName)) 
{ 
    MessageBox("Application Error", ...); 
} 
else 
{ 
    DllMain = GetProcAddress("DllMain"); 
    DllMain(DLL_PROCESS_ATTACH); 

所以，如果你不希望採取的代碼的第一個分支，則應當允許DLL加載。沒有第三種選擇。

Windows 8的例子有誤導性。如果你是微軟，當然你可以添加第三個選項。

關於第二個想法，您是否取消了使用FltCancelFileOpen的操作？如果沒有，那麼你是怎麼做到的？