-
大家好,现在遇到一个很棘手的问题,相信有朋友也遇到过.我采用FileSpy模型,当用word2003进行写文件时,无法截获到一部分数据.这部分数据是以文件偏移到0x3c的地方,按照Open Office的文档来看,这个地方指的是小文件起始扇区号.我跟踪了所有的IPR_WRITE以...全文
◆
◆
-
yandong_8212:引用第5楼jylhy于2008-04-01 19:29发表的 : 请教楼主个问题,如何判断某个程序使用了文件映射.谢谢 我只是做了初步的实验是: (!CcIsFileCached() && PagedIO && NoCachedIo)(2008-04-03 10:55)
-
jylhy:请教楼主个问题,如何判断某个程序使用了文件映射.谢谢(2008-04-01 19:29)
-
yandong_8212:文件映射在短时间内不会产生I/O操作,你说的缓存是指的FASTIO.文件映射会通过系统进程来写,可能要等你程序结束了以后再写.另外,记事本没有用文件映射.(2008-04-01 16:28)
-
skh2006:请教楼主,在minifilter里通过截获IRP,怎样处理这种文件映射的问题呢? 我在打开,关闭时都清了缓存,为什么记事本的解密还是不行啊(2008-03-25 12:55)
-
yandong_8212:感谢楼楼上的回复,我通过加载FASTFAT终于找到原因,原来WORD采用文件映射,而文件映射是由系统自己写入磁盘的,所以会截获不了.(2008-03-25 09:39)
-
abc13271552:你的filter是否在适当的地点release掉了过滤条件。(类如fscontext) 那部分内容可能先写到cache中,然后延迟写。这时你条件没了。 1)WORD2003内部使用越级IRP,导致FILTER无法监控? 。。。。。word是app层,理论上不会直接操作irp....(2008-03-25 09:17)
