首页>驱动开发>文件系统(过滤)驱动程序开发>DriverEntry函数中FilemonGetProces...
回复
« 返回列表
wanyinghui
wanyinghui
驱动牛犊
驱动牛犊
  • 注册日期2002-04-23
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分7分
  • 威望12点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
阅读:1631回复:8

DriverEntry函数中FilemonGetProcessNameOffset函数为何要和System做比较

楼主#
更多 发布于:2005-02-01 20:02
DriverEntry函数中FilemonGetProcessNameOffset函数为何要和System进程做比较。
喜欢0
回复
paladinii
paladinii
驱动中牛
驱动中牛
  • 注册日期2003-10-28
  • 最后登录2012-03-09
  • 粉丝0
  • 关注0
  • 积分282分
  • 威望74点
  • 贡献值0点
  • 好评度23点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2005-02-03 21:10
哦了
Ideas for life!
回复(0) 喜欢(0)
fslife
fslife
驱动大牛
驱动大牛
  • 注册日期2004-06-07
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分9分
  • 威望49点
  • 贡献值0点
  • 好评度20点
  • 原创分0分
  • 专家分0分
写私信
板凳#
发布于:2005-02-03 20:24
[quote]OSR的很多程序都是这样处理的,没有采用用绝对偏移量,而是动态获取偏移量,巧妙的解决了不同Windows版本之间的差别。

greatzy,你说的OSR很多程序指的是什么?能否把链接发上来,或者直接把这些程序代码传上来?谢谢! [/quote]

filemon,regmon都是这样做的。
在交流中学习。。。
回复(0) 喜欢(0)
wanyinghui
wanyinghui
驱动牛犊
驱动牛犊
  • 注册日期2002-04-23
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分7分
  • 威望12点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
地板#
发布于:2005-02-03 18:54
楼上仁兄:
如果我需要得到完整文件名怎么办呢?
回复(0) 喜欢(0)
wowocock
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
写私信
地下室#
发布于:2005-02-03 16:30
我明白了,又问:

FileMon中取当前进程名时,为什么所取进程名不能超过16字节(多余部分被截去),而实际情况是有可能超过16字节的?

[编辑 -  2/2/05 by  wanyinghui]

因为在EPROCESS里的imageFileName的数组只有16个字节大小,多了也只取前面16个
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
回复(0) 喜欢(0)
paladinii
paladinii
驱动中牛
驱动中牛
  • 注册日期2003-10-28
  • 最后登录2012-03-09
  • 粉丝0
  • 关注0
  • 积分282分
  • 威望74点
  • 贡献值0点
  • 好评度23点
  • 原创分0分
  • 专家分0分
写私信
5楼#
发布于:2005-02-03 11:49
OSR的很多程序都是这样处理的,没有采用用绝对偏移量,而是动态获取偏移量,巧妙的解决了不同Windows版本之间的差别。

greatzy,你说的OSR很多程序指的是什么?能否把链接发上来,或者直接把这些程序代码传上来?谢谢!
Ideas for life!
回复(0) 喜欢(0)
wanyinghui
wanyinghui
驱动牛犊
驱动牛犊
  • 注册日期2002-04-23
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分7分
  • 威望12点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
6楼#
发布于:2005-02-02 18:46
我明白了,又问:

FileMon中取当前进程名时,为什么所取进程名不能超过16字节(多余部分被截去),而实际情况是有可能超过16字节的?

[编辑 -  2/2/05 by  wanyinghui]
回复(0) 喜欢(0)
greatzy
greatzy
驱动牛犊
驱动牛犊
  • 注册日期2004-05-12
  • 最后登录2012-05-18
  • 粉丝0
  • 关注0
  • 积分9分
  • 威望39点
  • 贡献值0点
  • 好评度3点
  • 原创分0分
  • 专家分0分
写私信
7楼#
发布于:2005-02-02 09:57
[quote]DriverEntry函数中FilemonGetProcessNameOffset函数为何要和System进程做比较。
 

因为所有驱动的加载都是在System进程中进行的...... [/quote]
OSR的很多程序都是这样处理的,没有采用用绝对偏移量,而是动态获取偏移量,巧妙的解决了不同Windows版本之间的差别。
回复(0) 喜欢(0)
wowocock
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
写私信
8楼#
发布于:2005-02-01 21:59
DriverEntry函数中FilemonGetProcessNameOffset函数为何要和System进程做比较。
 

因为所有驱动的加载都是在System进程中进行的......
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部