HaeJuK LABS

📌 ReFS 실행 제어: 파일 필터 없이 커널 콜백으로 차단하기 ✅ 요약 NTFS에서는 파일 필터 드라이버(FltMgr)를 이용해 실행을 제어할 수 있지만, ReFS는 필터링 지원이 제한되어 기존 방식이 작동하지 않습니다. 하지만 PsSetCreateProcessNotifyRoutineEx를 사용하면 파일 시스템 종류와 관계없이 프로세스 실행을 차단할 수 있습니다. ✅ 언제 파일 필터 대신 PsNotify를 쓰는가? 기능 파일 필터 드라이버 PsNotify 콜백 .exe 실행 차단 ✅ NTFS만 ✅ NTFS + ReFS ..

📌 ReFS에서 실행 차단: NTFS처럼 파일 필터가 안될 때의 대안 NTFS용 파일 필터 드라이버는 파일 실행 시점에서 경로를 추적하고 차단이 가능하지만, ReFS에서는 필터링 포인트 자체가 제한적입니다. 따라서 ReFS에서 파일 실행을 제어하려면 다른 방식(정책 또는 커널 후킹 등)을 사용해야 합니다. ✅ 실행 제어를 위한 대안 3가지 1. ETW 기반 사용자 모드 감시 (비차단 감지용) ETW (Event Tracing for Windows)를 통해 실행 이벤트를 감지하고, 정책 위반 여부를 판단할 수 있습니다. 다만 실제 차단은 불가능합니다. void OnProcessStart(const std::wstring& imagePath){ if (imagePa..

NTFS vs ReFS: 파일 필터 드라이버 샘플과 Fallback 설계 1. NTFS용 파일 필터 드라이버 샘플 NTFS에서는 FltMgr 기반 미니필터를 통해 다양한 IRP를 가로채고 파일 시스템 동작을 감시할 수 있습니다. 예제: PreCreate 및 PreWrite 필터링 FLT_PREOP_CALLBACK_STATUSPreCreateCallback( PFLT_CALLBACK_DATA Data, PCFLT_RELATED_OBJECTS FltObjects, PVOID* CompletionContext){ PFLT_FILE_NAME_INFORMATION nameInfo = nullptr; if (NT_SUCCESS(FltGetFileNameInformation(Data..

NTFS vs ReFS - 파일 필터 드라이버 개발 시 차이점 ✅ 기본 개념 Microsoft의 FltMgr 기반 미니필터 드라이버는 NTFS와 ReFS 모두에서 작동할 수 있지만, ReFS는 구조적 차이로 인해 필터링 동작이 제한됩니다. NTFS를 기준으로 작성된 드라이버는 ReFS에서 정상 작동하지 않거나 무시될 수 있습니다. 📌 NTFS vs ReFS - 주요 차이점 요약 항목 NTFS ReFS 필터링 범위 Pre/Post Callbacks 대부분 지원 일부 IRP만 필터링 가능 저널링 구조 $Log..

SSD/NVMe 환경에서 ReFS 사용할까? NTFS와 비교 정리 1. ReFS란 무엇인가? ReFS (Resilient File System)는 Microsoft가 설계한 차세대 파일 시스템입니다. NTFS의 한계를 극복하고 데이터 무결성, 자동 복구, 대용량 저장소 지원 등을 목표로 개발되었습니다. 무결성 검증: 체크섬 기반으로 데이터 오류 자동 복구 자동 단편화 방지: 디스크 성능 유지 Snapshot, Block Cloning 등 고급 기능 내장 파일/볼륨 크기 제한이 사실상 없음 2. NTFS와 다른 점은? 항목 NTFS ReFS 출시 시기..