-
rt但是双击一个zip之类的文件就可以截获到IRP_MJ_READ操作知道的大侠麻烦帮帮忙啊!另外,如何从海量的文件读操作中鉴别出真正的读呢?比如,鼠标焦点的转换也会导致相应的READ IRP,等等。如何把这部分废操作过滤掉??
◆
◆
-
feng_zhibing:能问一下,什么时候清掉cache 呀?用什么方法清掉缓存呀??(2009-12-11 15:30)
-
zy860326:恩,之前没说的很清楚,是第一次打开的时候会产生读操作,或者是焦点移到txt文件上时会有读操作,之后就可能因为成为内存映射文件,再读的时候就不会产生IRP_MJ_READ操作了。(2009-11-05 09:14)
-
zy860326:赞一个 太谢谢啦!!!(2009-11-05 08:39)
-
neak47:记事本文件是一种内存映射文件,在你用notepad.exe进程打开txt文件前,explorer.exe进程已经将一部分内容预读到cache中了,如果你想得到read操作,需要先清掉cache
(2009-11-04 18:00)
-
zy860326:自己先顶起啊!(2009-11-04 16:55)
