版块
论坛
喜欢
话题
应用
搜索
登录
注册
trent的个人空间
访问量
1
新鲜事
帖子
资料
http://bbs3.driverdevelop.com/index.php?m=space&uid=17334
识别文件打开是执行还是别的操作
在FILEMON 的 IRP_MJ_CREATE调度处整样判断可执行文件打开操作是否是被执行还是别的操作呢?是通过相关的FileObject里的标志位还是别的东西!我找到FILE_EXECUTE这个标志但不知对应的标识放在哪的?有知道的请多多指点!
回复
(
4
)
2005-05-31 10:30
来自版块 -
文件系统(过滤)驱动程序开发
◆
◆
表情
告诉我的粉丝
提 交
paladinii
:
通过Token就可以得到SID,接着就可以得到用户名
(2005-06-02 19:16)
回复
trent
:
谢谢zhaock 的回复,我去试一试 我还有一个老掉牙的问题: 我整样得到远程访问本地硬盘文件的远端的IP地址呢? 可以根据令牌判断是来自远方的访问了!
(2005-06-01 15:10)
回复
zhaock
:
看currentIrpStack->Parameters.Create.SecurityContext->DesiredAccess,对应于ZwCreateFile中的DesireAccess,
(2005-05-31 19:17)
回复
trent
:
整没人回答呢! 是分不够! 还是太低级了 哟! 通过别的方法也可以!但我想在文件驱动里也能实现的!
(2005-05-31 17:14)
回复
trent
加关注
写私信
0
关注
0
粉丝
2524
帖子
返回顶部