求教：可以根据调用它的应用程序分类处理IRP吗？

楼主^#

更多发布于：2009-08-03 16:20

最近在做文件过滤。现在想实现这样一个功能：对可信任的进程发出的IRP_MJ_WRITE过滤驱动予以放行；对其它不可信进程发出的IRP_MJ_WRITE则返回错误信息。（当然其中应该包含一些加密操作）
问题是，IRP的结构中含有调用它应用程序的信息么？
如果有，该怎么操作呢？
若没有，那么有没有别的方法呢？
请各位大侠点拨一下思路。感激不尽啊。

喜欢0

wwg266543 驱动小牛注册日期2007-07-03 最后登录2014-08-27 粉丝3 关注1 积分3分威望882点贡献值0点好评度9点原创分0分专家分54分加关注写私信	沙发^# 发布于：2009-08-03 16:39 pid
	回复(0) 喜欢(0)

lcjoo 驱动牛犊注册日期2007-02-08 最后登录2016-01-09 粉丝0 关注0 积分39分威望351点贡献值0点好评度0点原创分0分专家分0分加关注写私信	板凳^# 发布于：2009-08-03 21:02 回楼主(g11ao) 的帖子完全可以啊！！首先判断是不是你要监控的进程如果是放行不是的话就阻止，就行了哈哈
	回复(0) 喜欢(0)

michaelgz 论坛版主注册日期2005-01-26 最后登录2012-10-22 粉丝1 关注1 积分150分威望1524点贡献值1点好评度213点原创分0分专家分2分加关注写私信	地板^# 发布于：2009-08-03 22:19 Depends on what kind of WRITE you are talking about. Cached WRITEs should be in particular process context. Paging WRITE is always in SYSTEM context.
	回复(0) 喜欢(0)

g11ao 驱动牛犊注册日期2009-06-29 最后登录2016-01-09 粉丝0 关注0 积分7分威望51点贡献值0点好评度0点原创分0分专家分0分加关注写私信	地下室^# 发布于：2009-08-04 09:11 Re:回楼主(g11ao) 的帖子引用第2楼lcjoo于2009-08-03 21:02发表的回楼主(g11ao) 的帖子 : 完全可以啊！！首先判断是不是你要监控的进程如果是放行不是的话就阻止，就行了哈哈程序每次运行的PID都会不同，怎么知道是不是要监控的进程？
	回复(0) 喜欢(0)

guard366

驱动牛犊

注册日期2009-04-30
最后登录2010-10-21
粉丝0
关注0
积分36分
威望351点
贡献值1点
好评度0点
原创分0分
专家分0分

加关注写私信

5楼^#

发布于：2009-08-04 10:35

try to get procname

成熟的产品！

回复喜欢

发帖回复

« 返回列表

您需要登录后才可以回帖，登录或者注册

返回顶部

求教：可以根据调用它的应用程序分类处理IRP吗？

最新喜欢：