|
阅读:2434回复:16
关于FileMon的一个非常菜的问题
我在FileMon中想改动一点代码后使符合条件的文件被禁止操作。
如:原先对C:\\12345.txt进行了监视,则操作此文件时会被监视起来,但我现在想让2000/XP下使用任何应用程序都无法打开C:\\12345.txt这个文件,请问我该如何处理? 先谢了!! :) :) [编辑 - 8/18/03 by brianwsun] |
|
|
沙发#
发布于:2004-08-01 20:46
直接完成相应irp,状态随便给个错误的就ok了,我试过,没问题 直接拒绝任何操作在IRP_MJ_CREATE 中返回一点问题都没有,但是只读不写在word、accees等就有问题了,只在IRP_MJ_WRITE中返回不能起作用,在IRP_MJ_QUERY_INFORMATION、IRP_MJ_SET_INFORMATION、IRP_MJ_CLEANUP、IRP_MJ_CLOSE中都加入 if( writerefuse==1) { Irp->IoStatus.Status=STATUS_INVALID_DEVICE_REQUEST; Irp->IoStatus.Information=0; IoCompleteRequest(Irp,IO_NO_INCREMENT); return STATUS_INVALID_DEVICE_REQUEST; 虽然word等文档能读不能写,但是出现了以下问题: 1、保存不了,这是对的,但是直接关闭以后在打开就不能打开了,说文件被锁定,另一个程序正在使用,通知、只读都不行?????? 2、从应用程序更改过滤规则将只读改为可以读写,仍然如此,请教一下这是为什么?是不是在写时产生IRP_MJ_CREATE,就被锁定了,如何释放,或者以其它方式拒绝?谢了 另贴给分 |
|
|
板凳#
发布于:2004-07-24 15:58
直接完成相应irp,状态随便给个错误的就ok了,我试过,没问题
|
|
|
|
地板#
发布于:2004-07-18 14:31
简单点返回STATUS_UNSUCCESSFUL试试:)
修改文件名之类的对应的应该是IRP_MJ_SET_INFORMATION 另外不能简单的返回吧?是不是需要进行一些判断? |
|
|
|
地下室#
发布于:2004-07-17 11:28
[quote][quote]非常感谢,我在irp_mj_read后处理了就成功了。 请问你在irp_mj_read是怎样处理的?能帮帮我吗?谢谢你 [/quote] 正如nustzhua所说,只要在irp_mj_read中返回就可以了,没有别的东西。 [/quote] 我就在这里返回过,返回的是STATUS_INVALID_DEVICE_REQUEST,但是有一大堆错误,说什么计算机或网络错误什么的,缓冲的内容不能保存,无论确定多少此都有,你返回的究竟是什么错误代码?保密不能说出来? |
|
|
5楼#
发布于:2003-08-21 11:39
是return STATUS_SUCCESS么?
|
|
|
|
6楼#
发布于:2003-08-21 11:22
[quote]非常感谢,我在irp_mj_read后处理了就成功了。 请问你在irp_mj_read是怎样处理的?能帮帮我吗?谢谢你 [/quote] 正如nustzhua所说,只要在irp_mj_read中返回就可以了,没有别的东西。 |
|
|
7楼#
发布于:2003-08-21 10:13
非常感谢,我在irp_mj_read后处理了就成功了。 请问你在irp_mj_read是怎样处理的?能帮帮我吗?谢谢你 |
|
|
|
8楼#
发布于:2003-08-20 17:24
正是你修改了SYS,所以想请教一下怎么去调试SYS。因为我在DriverEntry()的入口设了断点后,EXE文件都在运行了,却没见断点出现,真是怪事。
|
|
|
9楼#
发布于:2003-08-20 16:16
请问brianwsun兄,你是怎么调试驱动的呀,我怎么总是进不到驱动里呢? 我没有修改FileMon的exe,只是修改了FileMon的sys,这只是我的试验性改造(因为我这几天开去试图了解一些Driver开发的东东),了解的东西非常有限。 |
|
|
10楼#
发布于:2003-08-20 16:07
请问brianwsun兄,你是怎么调试驱动的呀,我怎么总是进不到驱动里呢?
|
|
|
11楼#
发布于:2003-08-20 10:51
[quote]easy,在irp_mj_create时返回,好像这样容易出问题,如果是就在irp_mj_read时返回。 非常感谢,我在irp_mj_read后处理了就成功了。 另外再问一个问题:对于文件/目录的删除/改名/移动对应的又是那个? 对问题我会加分的,非常感谢。 这10分先送出,这一问中的问题回答后,我会另开一贴谢分的,谢谢! [编辑 - 8/20/03 by brianwsun] [/quote] 呵呵,找到了。谢谢各位了。 以前从没接触过Driver开发,经过这几天总算可以改些东东了,开心ing…… 还有问题要问题各位的 :P :P :P :P [编辑 - 8/20/03 by brianwsun] |
|
|
12楼#
发布于:2003-08-20 08:42
easy,在irp_mj_create时返回,好像这样容易出问题,如果是就在irp_mj_read时返回。 非常感谢,我在irp_mj_read后处理了就成功了。 另外再问一个问题:对于文件/目录的删除/改名/移动对应的又是那个? 对问题我会加分的,非常感谢。 这10分先送出,这一问中的问题回答后,我会另开一贴谢分的,谢谢! [编辑 - 8/20/03 by brianwsun] |
|
|
13楼#
发布于:2003-08-19 09:33
我直接折腾IRP_MJ_CREATE,然后访问E盘都直接说什么“错误,无法打开”,好生硬啊...
|
|
|
14楼#
发布于:2003-08-19 09:30
easy,在irp_mj_create时返回,好像这样容易出问题,如果是就在irp_mj_read时返回。
|
|
|
|
15楼#
发布于:2003-08-18 14:41
filemon不是有sys? sys文件是有,但我要的是改动代码后,使指定的文件被禁止操作。 另外一个问题:为什么我运行FileSpy下面的install.exe会Crash,好多返回值失败(拷贝文件失败,打开注册表失败,……),可我已经运行了regini.exe params.txt了呀。 :( :( :( [编辑 - 8/18/03 by brianwsun] |
|
|
16楼#
发布于:2003-08-18 14:10
filemon不是有sys?
|
|