-
我在文件头加入了自己的加密标志,长度为512,在irp_mj_read中通过改变IrpSp->Parameters.Read.ByteOffset.QuadPart +=512; 可以隐藏文件头,但是这时却读出了512字节的 00 ;通过softeice追踪 IrpSp...全文
◆
◆
-
znsoft:多看nt文件系统内幕, 尤其是中文版:)(2007-03-27 14:17)
-
zjg1979:对文件系统还不是很了解,很多东西都雾里看花!(2007-03-27 14:01)
-
我最老实:不管多少条路径查询filesize 最后都是FSD从FCB中获取,所以你直接临时控制一下FCB,可以不用考虑有多少种方式获取FileSize。(2007-03-22 09:17)
-
zjg1979:在osc的坛子里,有一个帖子是这样的,看不太明白 Thank you! Indeed that was the missing piece. After making sure to properly lie about the file size in the fast pa...(2007-03-22 08:21)
-
zjg1979:请 "我最老实" 和实现的朋友关注一下!(2007-03-22 08:18)
-
devia:在文件头加加密标识比较复杂,一旦你的加密标识被CACHED,处理就更复杂(2007-03-21 18:04)
-
JTIGER163:我也是碰到了同样的问题,用写字板和ultraedit打开的文件根本就没有发送irp_mj_query_information消息,但是调用了fastioquerystandardinfo,在这里改变大小也没有效果,不知道哪里还要做些处理。(2007-03-21 18:00)
-
zjg1979:我用鼠标在文件上点一下,xp属性栏就能显示文件的真实大小,通过拦截我发现是 发送了 irp_mj_query_control ---> FILE_STREAM_INFORMATION StreamSize 并不是文件的实际大小,explore是如何知道文件大小的??...(2007-03-16 11:30)
-
zjg1979:多谢指导,我用记事本打开后可以拦截到irp_mj_query_information,能正确处理. 可是用editplus 或 UltraEdit 根本就拦截不到irp_mj_query_information. 不知道这两个软件是如何获得文件长度的,发送什么样的irp???...(2007-03-16 10:05)
-
我最老实:引用第0楼zjg1979于2007-03-15 09:38发表的“在文件头加入加密标志之后...请各位关注”: 我在文件头加入了自己的加密标志,长度为512,在irp_mj_read中通过改变IrpSp->Parameters.Read.ByteOffset.QuadP...(2007-03-15 10:00)
