首页>驱动开发>文件系统(过滤)驱动程序开发>为什么抓不到notepad.exe读文件的IRP_MJ_RE...
回复
« 返回列表
j965829
j965829
驱动牛犊
驱动牛犊
  • 注册日期2003-12-18
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分1分
  • 威望29点
  • 贡献值0点
  • 好评度12点
  • 原创分0分
  • 专家分0分
写私信
阅读:1830回复:11

为什么抓不到notepad.exe读文件的IRP_MJ_READ啊?

楼主#
更多 发布于:2008-06-07 21:42
notepad写文件是irp_mj_write,
为什么读文件时候是create和query啊?
notepad不irp_read怎么把文件内容读出来的啊,?高人指定一下。
喜欢0
回复
znsoft
znsoft
管理员
管理员
  • 注册日期2001-03-23
  • 最后登录2023-10-25
  • 粉丝300
  • 关注6
  • 积分910分
  • 威望14796点
  • 贡献值7点
  • 好评度2410点
  • 原创分5分
  • 专家分100分
写私信
  • 社区居民
  • 最爱沙发
  • 社区明星
沙发#
发布于:2008-06-07 22:17
肯定有read,只不过它是filemaping,而且文件小的话,可能只一次就过去了
http://www.zndev.com 免费源码交换网 ----------------------------- 软件创造价值,驱动提供力量! 淡泊以明志,宁静以致远。 ---------------------------------- 勤用搜索,多查资料,先搜再问。
回复(0) 喜欢(0)
znsoft
znsoft
管理员
管理员
  • 注册日期2001-03-23
  • 最后登录2023-10-25
  • 粉丝300
  • 关注6
  • 积分910分
  • 威望14796点
  • 贡献值7点
  • 好评度2410点
  • 原创分5分
  • 专家分100分
写私信
  • 社区居民
  • 最爱沙发
  • 社区明星
板凳#
发布于:2008-06-07 22:26
而且很有可能的情况,当你的文件很小时,explorer的预读可能就已经有内容了
http://www.zndev.com 免费源码交换网 ----------------------------- 软件创造价值,驱动提供力量! 淡泊以明志,宁静以致远。 ---------------------------------- 勤用搜索,多查资料,先搜再问。
回复(0) 喜欢(0)
j965829
j965829
驱动牛犊
驱动牛犊
  • 注册日期2003-12-18
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分1分
  • 威望29点
  • 贡献值0点
  • 好评度12点
  • 原创分0分
  • 专家分0分
写私信
地板#
发布于:2008-06-07 22:38
我对文件一件的IRP_MJ_READ进行了过滤, 但NOTEPAD还是能读出正确的内容, 重启机器也是一样, 表示没有被别的进程读过。除非是被内核进程读了。
回复(0) 喜欢(0)
test
test
驱动牛犊
驱动牛犊
  • 注册日期2002-03-07
  • 最后登录2011-01-06
  • 粉丝0
  • 关注0
  • 积分19分
  • 威望251点
  • 贡献值0点
  • 好评度15点
  • 原创分0分
  • 专家分18分
写私信
地下室#
发布于:2008-06-08 13:31
explorer...
回复(0) 喜欢(0)
j965829
j965829
驱动牛犊
驱动牛犊
  • 注册日期2003-12-18
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分1分
  • 威望29点
  • 贡献值0点
  • 好评度12点
  • 原创分0分
  • 专家分0分
写私信
5楼#
发布于:2008-06-08 17:52
如果是 Explorer  也应拦的到呀? 还有我试了, 如果是大文件, 就是有IRP_MJ_READ,
 小文件就没有。怎么去小文件进行拦住?
回复(0) 喜欢(0)
j965829
j965829
驱动牛犊
驱动牛犊
  • 注册日期2003-12-18
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分1分
  • 威望29点
  • 贡献值0点
  • 好评度12点
  • 原创分0分
  • 专家分0分
写私信
6楼#
发布于:2008-06-08 17:55
1 .3M的TXT用,用NOTEPAD。EXE打开不能, 但COPY到别的目录可以, 小文件不论是COPY和NOTEPAD的OPEN都不行。怎么解决
回复(0) 喜欢(0)
znsoft
znsoft
管理员
管理员
  • 注册日期2001-03-23
  • 最后登录2023-10-25
  • 粉丝300
  • 关注6
  • 积分910分
  • 威望14796点
  • 贡献值7点
  • 好评度2410点
  • 原创分5分
  • 专家分100分
写私信
  • 社区居民
  • 最爱沙发
  • 社区明星
7楼#
发布于:2008-06-08 18:41
肯定有读的,你试一下大的文本文件
http://www.zndev.com 免费源码交换网 ----------------------------- 软件创造价值,驱动提供力量! 淡泊以明志,宁静以致远。 ---------------------------------- 勤用搜索,多查资料,先搜再问。
回复(0) 喜欢(0)
j965829
j965829
驱动牛犊
驱动牛犊
  • 注册日期2003-12-18
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分1分
  • 威望29点
  • 贡献值0点
  • 好评度12点
  • 原创分0分
  • 专家分0分
写私信
8楼#
发布于:2008-06-08 19:35
1.3M还不够大吗? 现在是小文件也不能放过。
回复(0) 喜欢(0)
znsoft
znsoft
管理员
管理员
  • 注册日期2001-03-23
  • 最后登录2023-10-25
  • 粉丝300
  • 关注6
  • 积分910分
  • 威望14796点
  • 贡献值7点
  • 好评度2410点
  • 原创分5分
  • 专家分100分
写私信
  • 社区居民
  • 最爱沙发
  • 社区明星
9楼#
发布于:2008-06-08 19:36
弄个10M以上的文件看看,用filespy看看..
肯定有的...
http://www.zndev.com 免费源码交换网 ----------------------------- 软件创造价值,驱动提供力量! 淡泊以明志,宁静以致远。 ---------------------------------- 勤用搜索,多查资料,先搜再问。
回复(0) 喜欢(0)
j965829
j965829
驱动牛犊
驱动牛犊
  • 注册日期2003-12-18
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分1分
  • 威望29点
  • 贡献值0点
  • 好评度12点
  • 原创分0分
  • 专家分0分
写私信
10楼#
发布于:2008-06-08 22:09
fileSpy也不能。
回复(0) 喜欢(0)
j965829
j965829
驱动牛犊
驱动牛犊
  • 注册日期2003-12-18
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分1分
  • 威望29点
  • 贡献值0点
  • 好评度12点
  • 原创分0分
  • 专家分0分
写私信
11楼#
发布于:2008-06-10 10:52
filemon也不能
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部