直接IRP操作文件的实现问题，其实对于大部分接口（诸如： ZwReadFile、ZwWriteFile、ZwSetInformationFile、ZwDeleteFile等）在OSR上的“ Rolling Your Own - Building IRPs to Perform I/O ”一文中已经实现，但是那里面的实现还不够全。所以，我就翻出了前段时间在网上淘到的资料，特与大家共享！尤其值得注意的是，这里面还实现了ZwCreateF

直接IRP操作文件的实现问题，其实对于大部分接口（诸如： ZwReadFile、ZwWriteFile、ZwSetInformationFile、ZwDeleteFile等）在OSR上的“ Rolling Your Own - Building IRPs to Perform I/O ”一文中已经实现，但是那里面的实现还不够全。所以，我就翻出了前段时间在网上淘到的资料，特与大家共享！尤其值得注意的是，这里面还实现了ZwCreateF

利用Zwcreatfile 和 ZwWritefile写的一个文件复制驱动-Using Zwcreatfile and ZwWritefile write a file copy drive

KeCapturePersistentThreadState捕捉当前线程,获得_DUMP_HEADER结构内容,其中比较有趣的内容是DumpHead->PsLoadedModuleList,DumpHead->PsActiveProcessHead,DumpHead->PfnDataBase..... 接下来就是将_DUMP_HEADER结构内容写到一个dmp文件里, ZwCreateFile---->