-
比如在IRP_MJ_CREATE中获取了当前进程为 C:\\Windows\\Explorer如何判断这个进程输入哪个卷?也就是判断这个进程是否是 \\Device\\HardDiskVolume1
◆
◆
-
classfree:ZwOpenSymbolicLinkObject ZwQuerySymbolicLinkObject 两个函数偶不知道咋用, 能否麻烦来段代码(2007-02-02 22:19)
-
michaelgz:ZwOpenSymbolicLinkObject ZwQuerySymbolicLinkObject(2007-01-30 23:22)
-
classfree:因为获取的当前进程路径为 "D:\bak\xxx.exe" 我不能用"D:\"来做过滤路径撒, 因为盘符是可以改变的. 我想用卷名字来做过滤关键字, 所以我要把 盘符转换为卷名字(2007-01-30 16:32)
-
classfree:我的错, 我没说清楚. 我是说如何把 "C:\" 这样的一个路径转换为 "\Device\\HardDiskVolume1" 这种形式(2007-01-30 16:27)
-
dargons:在Sfilter中:SfGetFileName可以得到文件名.打印一下调试信息可以看到了. 在楚狂人的那篇教程中也给出了类似的说明,可以看一下.(2007-01-30 11:24)
-
galaxay:sfiter的NlGetObjectName可以得到\\Device\\HardDiskVolume1(2007-01-30 09:23)
