Callback

FltpCreate 函数中 ，通过 _DEVICE_OBJECT::_DRIVER_EXTENSION::_FLT_VOLUME 解析设备对象所属的卷，完成 _IRP_CALL_CTRL 结构体的初始化(将作为函数 FltpPassThroughInternal 的参数)。此处的 _DRIVER_EXTENSION 实际上是 FLTMGR!_VOLUME_DEVICE_EXTENSION，由驱动程序自行定义，用于存储驱动的私有数据。

结构体 _VOLUME_DEVICE_EXTENSION 的定义如下：

结构体 _IRP_CALL_CTRL 用于管理单个 IRP 在 MiniFilter 中的处理过程，包含当前 I/O 请求的上下文，其定义如下：

函数 FltpPassThroughInternal 和 FltpLegacyProcessingAfterPreCallbacksCompleted 内部调用 Pre/Post 回调函数。

回调函数被触发时的调用路径：

• Pre：IofCallDriver -> FLTMGR!FltpCreate -> FLTMGR!FltpPassThroughInternal -> FLTMGR!FltpPerformPreCallbacks -> PreFunc
• Post：IofCallDriver -> FLTMGR!FltpCreate -> FltpLegacyProcessingAfterPreCallbacksCompleted -> FltpPassThroughCompletionWorker -> FltpPerformPostCallbacks -> PostFunc

FltpPerformPreCallbacks 是 fltmgr.sys 内部用于按 Altitude 从高到低依次调用 Minifilter Pre-operation 回调的核心函数，是 Minifilter 实现“有序过滤”的执行中枢。它本身不派发 IRP 到文件系统，但决定了哪些过滤器有机会拦截或修改 I/O 请求。