shyandsy的个人空间

访问量0

http://bbs3.driverdevelop.com/index.php?m=space&uid=183834

[求]怎样使过滤驱动只截取NOTEPAD.EXE的IRP包啊>?

怎样使过滤驱动只截取NOTEPAD.EXE的IRP包啊? 我只想对txt文本的IRP进行操作,麻烦高手们能不能给指条路?先谢了........

回复(14) 2008-01-22 22:03 来自版块 - 文件系统(过滤)驱动程序开发

◆ ◆

: AlexSho：引用第13楼shyandsy于2009-01-12 05:26发表的 : 那对于lazy write 和page modified thread 的读写txt 应该怎么甄别呢 create的时候把FileObject和当前的进程关联起来，放到自己的存储结构里，然后在...(2009-01-14 13:04)

回复

: shyandsy：那对于lazy write 和page modified thread 的读写txt 应该怎么甄别呢(2009-01-12 05:26)

回复

: zhou_gz8888：(2008-06-17 16:10)

回复

: killvxk：任何可以修改的东西都不可信，要取进程内存特征~~嘿嘿~~(2008-03-08 12:28)

回复

: jl2004：取得进程名这应该是不错的主意(2008-03-08 10:39)

回复

: qianjunhua：引用第8楼AlexSho于2008-02-01 17:41发表的 : no 说的对呵呵！确实肯定不是usermode的 thread了。(2008-02-02 10:02)

回复

: AlexSho：引用第7楼qianjunhua于2008-02-01 12:36发表的 : 对于lazy write 和page modified thread 的读写txt ，irp的thread 也是notepad吗？ no(2008-02-01 17:41)

回复

: qianjunhua：对于lazy write 和page modified thread 的读写txt ，irp的thread 也是notepad吗？(2008-02-01 12:36)

回复

: shyandsy： 谢谢各位大虾的建议小弟感动啊(2008-01-24 12:40)

回复

: Gmxpsoft：不是吧．．．我在用这个办法的哦，研究一下先．谢谢提醒啦．(2008-01-23 22:26)

回复

1 2 下一页 »

shyandsy

加关注写私信