-
比如判断打开某word文档的操作,如果在create包里面利用 if(nt_success(irp_iostatus.status)) { 比较irp_iostatus.information是...全文
◆
◆
-
nvicly:sunway_yin,我所说的"过滤进程"是特指要排除explorer的打开动作. 首先,在create包里面的判断打开动作是可信的,正因为如此,当你在资源管理器里的鼠标扫过文件或点击一下文件,都必定接到explorer打开该文件的create包,相信这些c...(2007-04-23 11:18)
-
sunway_yin:楼上的,现在这个问题跟过滤进程无关的。 重点是怎么判断和记录打开操作。你可以当我对所有进程对某些文件的操作的打开操作都感兴趣。 所以中心点还是在 真的在create包里面判断的打开操作是准确的么????(2007-04-19 22:22)
-
nvicly:过滤进程,把你不关心的进程的"打开"动作全部忽略.(2007-04-19 18:40)
!不晓得这两者有什么区别-
sunway_yin:上面的大牛,如果是在这里判断打开文件操作的话,那么双击打开的操作如何才能准确被判断? 如何和单击操作区分开呢? 获取句柄(单击打开)和完全打开(双击)还是不同的吧?如果需要记录 从什么地方用什么方法去判断?(2007-04-19 14:28)
-
devia:那么就算点以下word单击下都被判断成打开了!!!! 其实系统(explorer进程)确实是打开了文件,并且非常频繁,你可以用FileMon跟踪一下就一目了然! 再者这样判断是否是打开文件的操作也是正确的。(2007-04-19 07:53)
