-
过滤驱动程序中能否捕捉到关闭文件操作?关闭文件时发送什么IRP?IRP_MJ_CLOSE?怎么区分是文件关闭时的close?
◆
◆
-
abc13271552:FsRtlInitPerStreamContext 的参数 co, ci 我定义为全局的 CHAR 没问题吧? 原来的参数类型为 PVOID(2007-11-29 08:53)
-
clarence:对,耐心多等下,就应该能看见。不行你就shutdown,看看会不会进~(2007-11-28 18:39)
-
abc13271552:VOID freefunc( IN PVOID Buffer ) { if (Buffer == NULL) {} else { DbgPrint("%s\n", &qu...(2007-11-28 17:11)
-
clarence:typedef struct _FSRTL_PER_STREAM_CONTEXT { LIST_ENTRY Links; PVOID OwnerId; PVOID InstanceId; PFREE_FUNCTION FreeCallback; -- 添...(2007-11-28 16:20)
-
abc13271552:VOID Per_StreamContext(PFILE_OBJECT FileObject) { PFSRTL_ADVANCED_FCB_HEADER fsadvfcb; PFSRTL_PER_STREAM_CONTEXT fsprectx; NTST...(2007-11-28 15:16)
-
abc13271552:先顶到最上面,期待LZ的总结,(2007-11-27 15:52)
-
clarence:我用的是Minifilter Driver, { FLT_STREAM_CONTEXT, 0, CleanupStreamContext, sizeof(STREAM_CONTEXT), CONTEXT_TA...(2007-11-27 13:28)
-
hhyDriver:引用第2楼clarence于2007-11-24 14:35发表的 : 用一下StreamCtx,当FileObject销毁的时候会去释放这个Context,这个当作文件的关闭应该是合适的。 试了一下你说的方法。 步骤如下:(1)调用FsRtlInitPerStreamCont...(2007-11-27 11:43)
-
hhyDriver:谢谢两位的回答,我将试一试。(2007-11-26 10:11)
-
clarence:用一下StreamCtx,当FileObject销毁的时候会去释放这个Context,这个当作文件的关闭应该是合适的。(2007-11-24 14:35)
