-
在看完filemon的源码后,我尝试修改其中的HookDrive我想直接将设备对象绑定到文件目录或某一个具体的文件,可是试了以后还是不行,设备对象还是以磁盘为主,WCHAR filename[] = L"\\DosDevices\\D:\\TEST\\USB_SD....全文
◆
◆
-
riceworm:看来功夫不负有心人啊,大虾们总算解决了俺几个疑问。(2004-11-26 15:32)
-
toadwolf:设备扩展对象当然可以为空. 可是如果你需要创建许多自己的过滤对象的话, 你就需要一个设备扩展对象来存储一些标志信息来帮助你识别每一个过滤对象. toad(2004-11-26 14:09)
-
wowocock:问题2:我的理解是DriverEntry中只是创建filemon设备对象, 用来表示FILEMON本身,,除了和应用交互外不处理任何其他IRP HookDrive中是创建要过滤设备对象,有多少个设备要过滤,你就创建多少个该对象. 题4:设备扩展对象是自己定义创建的,那它里面...(2004-11-26 10:08)
-
riceworm:问题1看来也只能这样啦 问题2:我的理解是DriverEntry中只是创建filemon设备对象 HookDrive中是打开而不是创建要过滤的目标设备的设备对象 不知道大虾们有何见解 问题4:设备扩展对象是自己定义创建的,那它里面的数据结构应该可以随意定义吧...(2004-11-26 09:33)
-
wowocock:只能绑定分区 过虑规则定位到具体的目录或文件 好象目前只能那样.(2004-11-25 14:07)
-
newkey:只能绑定分区 过虑规则定位到具体的目录或文件(2004-11-25 11:31)
-
riceworm:通过即时分析来判断是目录或文件,可是这样系统的效率不就很低了吗?因为IRP的包太多了。 非常感谢两位的回答,还请来客继续讨论。(2004-11-25 11:20)
-
fslife:问题1:根据filemon的方法,只能绑定一个分区,因为只有一个分区才是一个设备(DeviceObject),只有对设备的驱动绑定过滤驱动才能完成文件系统过滤。要绑定一个文件或者文件夹,只能通过即时分析了,如果是目标文件(夹)就处理,否则丢弃。(2004-11-25 09:39)
-
cicada:问题1:怎样才可以直接绑定到文件目录或某一个具体的文件??? 我也不知道,望高手解题。 问题2:HookDrive函数和DriverEntry函数中的IoCreateDevice有什么不同啊? 创建的设备类型不一样。DriverEntry中只是一个简单的filemon设...(2004-11-25 09:30)
-
riceworm:请大虾伸出援助之手。。。(2004-11-25 09:17)
