一、非驱动的替代方案（快速上手，适合无需深度定制的场景） #

如果你不想碰内核驱动，有几个更轻量的方法可以实现目标：

• 浏览器原生权限控制：现代浏览器（Chrome、Edge、Firefox）都针对网站文件系统访问做了权限隔离。比如针对FileSystem Access API——这是少数能让网站直接遍历本地目录的接口，你可以在站点权限设置里把“文件和文件夹”权限设为禁止。至于普通的<input type="file">上传，网站本身无法主动遍历目录，只能拿到你手动选择的文件/目录；如果要限制是否允许选择目录，也能在浏览器设置里找到对应选项。
• 注册表/组策略批量配置：你有注册表基础，这个方法很适合批量管控。以Chrome为例，在HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome下新建DefaultFileSystemAccessSetting的DWORD值，设为2就能全局禁止所有站点的文件系统访问权限；组策略的话，在Chrome的组策略模板里找到“默认文件系统访问设置”，同样设为禁止即可。
• 沙箱隔离：把浏览器放在Windows Sandbox或者第三方沙箱工具里运行，沙箱的文件系统和真实系统完全隔离，哪怕网站能访问，也碰不到你的真实文件。

二、Windows Driver方案：可行性与学习路径 #

用Windows驱动是完全可行的，而且能实现最细粒度的控制（比如只拦截浏览器的目录遍历请求，不影响其他进程）。结合你的需求，**文件系统过滤驱动（File System Filter Driver）**是最优选择，而非存储驱动。

所需学习内容 #

1. 内核模式编程基础：先搞懂内核空间和用户空间的区别，IRP（I/O请求包）的作用，驱动对象/设备对象的架构，内核同步机制（自旋锁、互斥体），以及内核内存管理（比如ExAllocatePoolWithTag分配内存、ProbeForRead/ProbeForWrite处理用户内存）。
2. WDK工具链与调试：熟悉Windows Driver Kit（WDK）的安装与配置，掌握驱动签名（测试阶段可以开启Windows测试签名模式），学会用WinDbg调试内核代码——这对排查驱动bug至关重要。
3. 文件系统过滤驱动核心逻辑：了解如何挂载过滤驱动到目标文件系统（比如NTFS），如何拦截特定的IRP请求（比如目录遍历对应的IRP_MJ_DIRECTORY_CONTROL、打开目录的IRP_MJ_CREATE），以及如何判断发起请求的进程（比如通过IoGetCurrentProcess()获取进程对象，再用PsGetProcessImageFileName()拿到进程名，判断是不是浏览器进程）。

入手步骤 #

1. 从WDK自带的miniFilter示例开始（比如PassThrough或者Filter示例），这些示例展示了最基础的过滤驱动架构：注册驱动、拦截IRP、传递/修改请求。
2. 先实现简单的进程判断逻辑：在拦截IRP时，获取当前进程的名称，比如只针对chrome.exe、firefox.exe这类浏览器进程做处理。
3. 编写拦截规则：比如当检测到浏览器进程发起目录遍历请求时，返回STATUS_ACCESS_DENIED来阻止访问；注意要区分正常的文件打开和目录遍历，避免误拦截用户主动选择文件的操作。
4. 逐步调试测试：用WinDbg挂接到系统内核，测试浏览器上传场景下的拦截效果，确保不会影响其他进程的正常文件访问。

三、Storage Driver vs File System Driver的选择 #

• Storage Driver：不推荐。存储驱动是和硬件交互的底层驱动，处理的是块级别的I/O请求，很难针对特定进程或者文件系统操作（比如目录遍历）做精准拦截，而且开发难度极高，容易导致系统蓝屏或存储功能异常。
• File System Filter Driver：完全可以，而且是你的需求的最佳匹配。它可以挂接到指定的文件系统上，拦截所有针对该文件系统的I/O请求，能精准识别进程、操作类型（比如目录遍历），从而实现细粒度的权限控制。

内容的提问来源于stack exchange，提问作者Niyas