-
在FILEMON 的 IRP_MJ_CREATE调度处整样判断可执行文件打开操作是否是被执行还是别的操作呢?是通过相关的FileObject里的标志位还是别的东西!我找到FILE_EXECUTE这个标志但不知对应的标识放在哪的?有知道的请多多指点!
◆
◆
-
paladinii:通过Token就可以得到SID,接着就可以得到用户名(2005-06-02 19:16)
-
trent:谢谢zhaock 的回复,我去试一试 我还有一个老掉牙的问题: 我整样得到远程访问本地硬盘文件的远端的IP地址呢? 可以根据令牌判断是来自远方的访问了!(2005-06-01 15:10)
-
zhaock:看currentIrpStack->Parameters.Create.SecurityContext->DesiredAccess,对应于ZwCreateFile中的DesireAccess, (2005-05-31 19:17)
-
trent:整没人回答呢! 是分不够! 还是太低级了 哟! 通过别的方法也可以!但我想在文件驱动里也能实现的!(2005-05-31 17:14)
