-
偶想在驱动中截取应用程序关闭时发出的消息(还是irp?),不知道行不行?还想获得应用程序里面运行的文件的文件名.应该怎么做???/请教各位大虾!
◆
◆
-
fracker:不是跟你说了吗?当然能! (2002-10-30 15:19)
-
Ice_Bin:应用程序的关闭不关驱程,它是Windows消息机制,用HOOK截获消息就可以了。WM_CLOSE 应用程序里面的我知道! 我就是想知道驱动里能不能? 不过谢谢关注! :D :D :D :D :D :D :D :D :D :D :D :D :D :D :...(2002-10-30 15:03)
-
gz818:WM_CLOSE(2002-10-30 12:08)
-
minsoft:应用程序的关闭不关驱程,它是Windows消息机制,用HOOK截获消息就可以了。WM_CLOSE(2002-10-29 10:20)
-
fracker:通知函数还可以得到其父进程和创建(或退出)的进程的ID,根据这个ID你就可以取到其他的信息了,比如文件名字。 (2002-10-29 10:09)
-
fracker:用PsSetCreateProcessNotifyRoutine设置一个通知函数,在每个进程创建和删除的时候都会通知你。 [编辑 - 10/29/02 by fracker](2002-10-29 10:08)
