liuyang714的个人空间

liuyang714： 哪位能给我一个 win2k 下的 filespy 执行文件？

winxp ifs kit 里面的 filespy 在 win2k 下不知道怎么编译。哪位有现成编译好了的能否发一份给我？最好是 winxp 下的 filespy。我想看一看跑起来是什么效果。谢谢:D :Dliuyang@aredian.com.cn

2003-08-08 11:58 来自版块 - 内核编程

liuyang714： 怎样发出一个 FASTIO 的 IO CONTROL 命令？

看了 Filemon 的源代码，里面的命令都是通过 fast io 接口来执行的，但是怎么都找不到是怎么做到这一点的。我修改了 filemon 头文件里面的 io control 命令定义，把 METHOD_BUFFER 改成 METHOD_NEITHER, 修改了 Create... 全文

2003-08-02 15:53 来自版块 - 内核编程

liuyang714： 关于 IoRegisterFsRegistrationChange

在 <Windows NT File System Internals> 这本书的 sample 中有提到，“We should be able to get to all native local file system drivers in this manner... 全文

2003-08-02 09:10 来自版块 - 内核编程

liuyang714： filesystem filter driver 和 disk filter drive 的区别？

刚刚在 OSR 上看到有 disk filter drive 一说，是什么意思呢？和 filesystem filter driver 之间有什么区别吗？

2003-07-31 20:17 来自版块 - 内核编程

liuyang714： 为什么 softice4.0 在 win2k sp4 上一装系统就无法启动？

win2k 打上 sp4 补丁后，一装 soft-ice4.0，系统启动的时候就蓝屏。：（再也启动不了了，重启到安全模式卸了 soft-ice 之后便好了。怎么回事呢？

2003-07-31 11:14 来自版块 - 内核编程

liuyang714： 写 fsd filter 是不是一定要 hook fastio?

hook fast io 那一套东东是干嘛用的？我看了很多 filter driver 里面都 hook 了 fastio 那一套东东，包括 filemon 的源代码，以及 ifs kit 的 filter dirver 的示例程序，hook 了一大堆东东，好像只要是 fast ... 全文

2003-07-29 10:29 来自版块 - 内核编程

liuyang714： Hook System Service 的问题

各位老大，我写了一个对 System ZwCreateFile 的 Hook，用来把系统对某个特定的文件的读写重定向到不同的目标文件中去，比如说当系统读 C:\\1.txt 时，我必需根据当前的登陆用户，让系统读到的是 C:\\user\\1.txt。现在所有事情都搞定了，除开最... 全文

2003-07-17 15:18 来自版块 - 内核编程

liuyang714： 怎样由 \\Device\\HarddiskVolume# 得到 C: D: 或相反？

请问有没有什么办法得到它呢？或者从 C: 得到 \\Device\\HarddiskVolum# 也可。我的系统是 Win2k。我用 ZwQueryVolumeInformationFile 取 FileFsObjectIdInformation 但总是提示参数错误，怀疑 2k ... 全文

2003-06-23 19:35 来自版块 - 内核编程

liuyang714： KeAttachProcess & KeDetachProcess & System process

请问各位前辈，为什么我的 KeDetachProcess 有时会出现“INVALID_PROCESS_DETACH_ATEMPT”的错误啊？我怀疑是因为在 KeAttachProcess 的时候，attach 的是一个系统进程，所以才会出现上述错误，但怎么判别从 PsGetCur... 全文

2003-06-20 22:13 来自版块 - 内核编程

liuyang714： 如果在 Driver 的 Unload 函数里，发现 Driver 此时还不能卸载怎么办？

比如说我在 Unload 调用中发现还有一些资源不能释放，所以不能直接调用 IoDeleteDevice，此时该怎么办呢？是简单的直接 return 还是应该做一些相应的处理，比如说做一些标记之类的？因为 IoDeleteDevice 并不能检测到我的资源还没被释放，所以才有这样... 全文

2003-06-16 11:38 来自版块 - 内核编程

liuyang714： 在 Driver 中用哪种方式休眠比较好？

在 DriverUnload 时必需等待某个标志清零才能继续往下运行，开始用 KeStallExecutionProcessor，但发现其休眠时，会占用很多 CPU 资源，于是想改用 KeDelayExecutionThread，但在每次调用此方法时，系统总是报 IRQL_NOT... 全文

2003-06-13 23:34 来自版块 - 内核编程

liuyang714： 各位 DX，如果从 DRIVER 中得到一个进程所属的系统用户名？

得到应用程序路径和名字是可以的，PEPROCESS 这个结构里好像没有用户名这个项目啊？

2003-06-10 13:44 来自版块 - 内核编程

liuyang714： 安装 Driver 时为什么会出现 Overlapped I/O operation is in progress？

各位 DX，偶写的一个非常简单的 Driver（就是只含有一个 空DriverEntry）的空架子，在用下面函数安装的时候总是会出现错误号为 error 997(Overlapped I/O operation is in progress) 的错误，这是为什么呢？我很菜了，以前... 全文

2003-06-09 12:15 来自版块 - ABC初学者