首页>编程与逆向>内核编程>文件系统驱动程序功能问题?
回复
« 返回列表
relax
relax
驱动牛犊
驱动牛犊
  • 注册日期2001-06-19
  • 最后登录2012-09-06
  • 粉丝0
  • 关注0
  • 积分88分
  • 威望69点
  • 贡献值0点
  • 好评度8点
  • 原创分0分
  • 专家分0分
写私信
阅读:1598回复:4

文件系统驱动程序功能问题?

楼主#
更多 发布于:2001-10-17 16:18
我在拦截了操作系统对文件的读写操作以后还想知道这些请求的具体操作,如到底是删除?拷贝?还是移动?请问我该怎末办?
(拦截API的办法我已经试过了,它无法拦截到控制台下的COPY.DEL和MOVE命令.
喜欢0
回复
relax
relax
驱动牛犊
驱动牛犊
  • 注册日期2001-06-19
  • 最后登录2012-09-06
  • 粉丝0
  • 关注0
  • 积分88分
  • 威望69点
  • 贡献值0点
  • 好评度8点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2001-10-18 23:19
看看FileMon这个例子。
回复(0) 喜欢(0)
relax
relax
驱动牛犊
驱动牛犊
  • 注册日期2001-06-19
  • 最后登录2012-09-06
  • 粉丝0
  • 关注0
  • 积分88分
  • 威望69点
  • 贡献值0点
  • 好评度8点
  • 原创分0分
  • 专家分0分
写私信
板凳#
发布于:2001-10-18 23:17
请问RO级是那一级?能否拦截到控制台下的COPY.DEL和MOVE命令?
回复(0) 喜欢(0)
Towang
Towang
驱动牛犊
驱动牛犊
  • 注册日期2001-09-12
  • 最后登录2001-12-11
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
地板#
发布于:2001-10-18 10:31
当然得在RO级拦截IRP,COPY,DEL,MOVE是不一样的IRP。
回复(0) 喜欢(0)
emperor
emperor
驱动牛犊
驱动牛犊
  • 注册日期2001-10-17
  • 最后登录2002-10-29
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
地下室#
发布于:2001-10-18 07:56
近来我也想开发一个用DDK阻断w2k下某些重要文件被删除,修改的驱动程序,可能要对IRP_MJ_WRITE进行截获,然后再调用自己的模块。
但我不知怎样截获这个IRP包,能否教教我。如果有可参考的例子或中心函数代码,能否告之。谢谢。
我的email是: xcbman@21cn.com
 
皇帝
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部