|
阅读:2158回复:5
如何比较进程名(急)
我在sfcreate中获取了当前进程的进程名,我想和我定义的进程名进行比较,符合就解密.请问这个比较要在
SfReadCompletion中进行吗?如果是这样的话,是不是先把sfcreate中获取的进程保存起来(把获取的进程名存在静态变量里).再在SfReadCompletion中比较? 还有如何定义我需要的进程名如winword.exe,notepad.exe等等.我自己定义了总是出错. 小弟初学,在很多方面还不懂,看sfilter也是硬肯,在驱网看看其他人的方法,自己一点点补充自己的代码.对很多方面似懂非懂,希望大虾指教(不要认为问题菜就不回答哦) |
|
|
|
沙发#
发布于:2007-09-21 14:28
同意devia
|
|
|
板凳#
发布于:2007-05-24 19:35
你的FileNode结构是什么样的?
|
|
|
|
地板#
发布于:2007-05-16 15:59
我现在也和你有同样的需求,我是这样做的:
我自己定义了一个FileNode结构,在其中就有一个域pid来保存通过验证的进程号。我在绑定到卷的设备对象的Extension中保存一个FileNode的List,每当SfCreate时,生成一个FileNode并插入到对应的List中。当有读写请求时,遍历链,如果pid对应当前进程,并且IRP访问的FileObject对应于某个FileNode结构中的FileNode域,我就从该FileNode中获得如明文Buffer、密文Buffer等信息对其进行操作。 |
|
|
地下室#
发布于:2007-04-30 09:55
在Create中比较好了,然后保存一个是否解密的标志,后面再READ、WRITE历程中直接使用。
|
|
|
|
5楼#
发布于:2007-04-29 17:30
根据进程加密比较麻烦的,不能把应用程序自身的一些文件给加密了
同时进程也是不准确的,最后还是要落实到具体的文件,然后再来对irp加密 |
|
