每个I/O请求，由I/O管理器出发，依次从相应的设备栈的顶部向下传递。每传递一层，系统就调用与当前设备对象关联的驱动程序例程来对请求进行处理。这分层的驱动程序模型，允许一个驱动程序构造一个匿名的设备对象，并把它附着在另一个设备对象上。I/O管理器在传递IRP到目标设备对象之前，如果有附着的匿名设备对象，它就把IRP首先传递给此匿名设备对象，经过对象的过滤设备驱动程序处理之后才发给真正的目标设备对象。而这个附着的匿名设备对象就是我们说的FiDO（过滤设备对象），与它关联的驱动程序就称为过滤驱动程序。因此，我们可以在文件系统设备对象的上面设置一个过滤驱动程序，这个过滤驱动程序可以首先获得I/O的IRP请求，从而对原始的请求进行预处理、修改和监控，最终达到我们想要的目的。?