首页>驱动开发>文件系统(过滤)驱动程序开发>[求]怎样使过滤驱动只截取NOTEPAD.EXE的IRP包啊...
回复
« 返回列表
shyandsy
shyandsy
驱动牛犊
驱动牛犊
  • 注册日期2007-12-21
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分447分
  • 威望183点
  • 贡献值0点
  • 好评度41点
  • 原创分0分
  • 专家分0分
写私信
阅读:2187回复:14

[求]怎样使过滤驱动只截取NOTEPAD.EXE的IRP包啊>?

楼主#
更多 发布于:2008-01-22 22:03

怎样使过滤驱动只截取NOTEPAD.EXE的IRP包啊?


我只想对txt文本的IRP进行操作,麻烦高手们能不能给指条路?

先谢了........
喜欢1

最新喜欢:

peanuts19peanut...
选择喜欢做的事,就要努力去做!
回复
AlexSho
AlexSho
驱动牛犊
驱动牛犊
  • 注册日期2008-01-10
  • 最后登录2017-12-01
  • 粉丝0
  • 关注0
  • 积分20分
  • 威望164点
  • 贡献值0点
  • 好评度45点
  • 原创分0分
  • 专家分0分
写私信
  • 社区居民
沙发#
发布于:2009-01-14 13:04
引用第13楼shyandsy于2009-01-12 05:26发表的  :

  对于lazy write 和page  modified thread 的读写txt
应该怎么甄别呢


create的时候把FileObject和当前的进程关联起来,放到自己的存储结构里,然后在这种情况下,根据FileObject查询进程。
回复(0) 喜欢(0)
shyandsy
shyandsy
驱动牛犊
驱动牛犊
  • 注册日期2007-12-21
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分447分
  • 威望183点
  • 贡献值0点
  • 好评度41点
  • 原创分0分
  • 专家分0分
写私信
板凳#
发布于:2009-01-12 05:26

  对于lazy write 和page  modified thread 的读写txt
应该怎么甄别呢
选择喜欢做的事,就要努力去做!
回复(0) 喜欢(0)
zhou_gz8888
zhou_gz8888
驱动牛犊
驱动牛犊
  • 注册日期2003-01-22
  • 最后登录2014-08-05
  • 粉丝0
  • 关注0
  • 积分1分
  • 威望247点
  • 贡献值1点
  • 好评度28点
  • 原创分0分
  • 专家分0分
写私信
地板#
发布于:2008-06-17 16:10
回复(0) 喜欢(0)
killvxk
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
写私信
地下室#
发布于:2008-03-08 12:28
任何可以修改的东西都不可信,要取进程内存特征~~嘿嘿~~
没有战争就没有进步 X3工作组 为您提供最好的军火
回复(0) 喜欢(0)
jl2004
jl2004
驱动小牛
驱动小牛
  • 注册日期2007-04-10
  • 最后登录2011-02-22
  • 粉丝0
  • 关注0
  • 积分21分
  • 威望276点
  • 贡献值0点
  • 好评度129点
  • 原创分0分
  • 专家分0分
写私信
5楼#
发布于:2008-03-08 10:39
取得进程名
这应该是不错的主意
向前,向前,向前....
回复(0) 喜欢(0)
qianjunhua
qianjunhua
驱动小牛
驱动小牛
  • 注册日期2003-12-08
  • 最后登录2013-02-27
  • 粉丝11
  • 关注0
  • 积分712分
  • 威望1052点
  • 贡献值1点
  • 好评度57点
  • 原创分0分
  • 专家分0分
写私信
6楼#
发布于:2008-02-02 10:02
引用第8楼AlexSho于2008-02-01 17:41发表的  :


no



说的对 呵呵!确实肯定不是usermode的 thread了。
回复(0) 喜欢(0)
AlexSho
AlexSho
驱动牛犊
驱动牛犊
  • 注册日期2008-01-10
  • 最后登录2017-12-01
  • 粉丝0
  • 关注0
  • 积分20分
  • 威望164点
  • 贡献值0点
  • 好评度45点
  • 原创分0分
  • 专家分0分
写私信
  • 社区居民
7楼#
发布于:2008-02-01 17:41
引用第7楼qianjunhua于2008-02-01 12:36发表的  :
对于lazy write 和page  modified thread 的读写txt ,irp的thread 也是notepad吗?


no
回复(0) 喜欢(0)
qianjunhua
qianjunhua
驱动小牛
驱动小牛
  • 注册日期2003-12-08
  • 最后登录2013-02-27
  • 粉丝11
  • 关注0
  • 积分712分
  • 威望1052点
  • 贡献值1点
  • 好评度57点
  • 原创分0分
  • 专家分0分
写私信
8楼#
发布于:2008-02-01 12:36
对于lazy write 和page  modified thread 的读写txt ,irp的thread 也是notepad吗?
回复(0) 喜欢(0)
shyandsy
shyandsy
驱动牛犊
驱动牛犊
  • 注册日期2007-12-21
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分447分
  • 威望183点
  • 贡献值0点
  • 好评度41点
  • 原创分0分
  • 专家分0分
写私信
9楼#
发布于:2008-01-24 12:40
  谢谢各位大虾的建议  小弟感动啊
选择喜欢做的事,就要努力去做!
回复(0) 喜欢(0)
Gmxpsoft
Gmxpsoft
驱动牛犊
驱动牛犊
  • 注册日期2007-09-20
  • 最后登录2011-10-11
  • 粉丝1
  • 关注0
  • 积分3分
  • 威望61点
  • 贡献值1点
  • 好评度30点
  • 原创分1分
  • 专家分0分
写私信
10楼#
发布于:2008-01-23 22:26
不是吧...我在用这个办法的哦,研究一下先.
谢谢提醒啦.
回复(0) 喜欢(0)
killvxk
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
写私信
11楼#
发布于:2008-01-23 21:31
PsGetCurrentProcess()这个可能不准~尤其是搞邪恶事情的时候~
没有战争就没有进步 X3工作组 为您提供最好的军火
回复(0) 喜欢(0)
Gmxpsoft
Gmxpsoft
驱动牛犊
驱动牛犊
  • 注册日期2007-09-20
  • 最后登录2011-10-11
  • 粉丝1
  • 关注0
  • 积分3分
  • 威望61点
  • 贡献值1点
  • 好评度30点
  • 原创分1分
  • 专家分0分
写私信
12楼#
发布于:2008-01-23 20:12
还有一种办法,用PsGetCurrentProcess(),然后根据返回的Handle中的偏移量可以得到当前进程的名字,关于多少偏移量可以从Filemon的代码里面得到.
希望对你有帮助:)
回复(0) 喜欢(0)
shyandsy
shyandsy
驱动牛犊
驱动牛犊
  • 注册日期2007-12-21
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分447分
  • 威望183点
  • 贡献值0点
  • 好评度41点
  • 原创分0分
  • 专家分0分
写私信
13楼#
发布于:2008-01-23 17:20
谢谢斑竹大哥拉
哇哈哈哈哈
选择喜欢做的事,就要努力去做!
回复(0) 喜欢(0)
killvxk
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
写私信
14楼#
发布于:2008-01-23 01:57
irp里有个地方有thread啊,thread可以to process啊,process可以获得imagename啊~
没有战争就没有进步 X3工作组 为您提供最好的军火
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部