请问各位大虾。

zgc7622 驱动小牛注册日期2003-02-24 最后登录2016-01-09 粉丝0 关注0 积分136分威望15点贡献值0点好评度13点原创分0分专家分0分加关注写私信	阅读：959回复：5 请问各位大虾。楼主^# 更多只看楼主倒序阅读发布于：2003-12-25 17:09 打开文件的函数是ZwOpenFile，那删除一个文件的函数是什么呢？？如果保存一个文件的时候函数有是什么呢？？各位能不能帮帮我呀！！！
	喜欢0 最新喜欢：回复

arthurtu 驱动巨牛注册日期2001-11-08 最后登录2020-12-19 粉丝0 关注0 积分26分威望161点贡献值0点好评度35点原创分0分专家分0分加关注写私信	沙发^# 发布于：2003-12-25 22:42 ZwSetInformationFile删除
	回复(0) 喜欢(0)

zgc7622

驱动小牛

注册日期2003-02-24
最后登录2016-01-09
粉丝0
关注0
积分136分
威望15点
贡献值0点
好评度13点
原创分0分
专家分0分

加关注写私信

板凳^#

发布于：2003-12-25 23:08

对的，我想也是这样。现在我想做一个防止文件被删除的驱动，我重新写了一个ZwSetInformationFile函数叫（HookZwSetInformationFile）然后判断如果要删除的文件名称是我要保护的文件的时候，我就不予执行真正的ZwSetInformationFile，可是现在怎样得到文件名称呢？？ZwSetInformationFile的参数中那个可以用来得到操作的文件名呢？？？请老大帮帮忙呀！！！

回复喜欢

seaquester

驱动大牛

注册日期2002-05-22
最后登录2016-06-16
粉丝0
关注0
积分500分
威望115点
贡献值0点
好评度107点
原创分0分
专家分52分

加关注写私信

地板^#

发布于：2003-12-26 08:39

对的，我想也是这样。现在我想做一个防止文件被删除的驱动，我重新写了一个ZwSetInformationFile函数叫（HookZwSetInformationFile）然后判断如果要删除的文件名称是我要保护的文件的时候，我就不予执行真正的ZwSetInformationFile，可是现在怎样得到文件名称呢？？ZwSetInformationFile的参数中那个可以用来得到操作的文件名呢？？？请老大帮帮忙呀！！！

试试调用
ZwQueryInformationFile （FileInformationClass = FileNameInformation）

八风舞遥翩，九野弄清音。鸣高常向月，善舞不迎人。

回复喜欢

zgc7622

驱动小牛

注册日期2003-02-24
最后登录2016-01-09
粉丝0
关注0
积分136分
威望15点
贡献值0点
好评度13点
原创分0分
专家分0分

加关注写私信

地下室^#

发布于：2003-12-26 09:18

NTSTATUS HookZwSetInformationFile(
  IN HANDLE FileHandle,
  OUT PIO_STATUS_BLOCK IoStatusBlock,
  IN PVOID FileInformation,
  IN ULONG Length,
  IN FILE_INFORMATION_CLASS FileInformationClass
)
{
NTSTATUS rc;
..
rc=(RealZwSetInformationFile)(FileHandle,IoStatusBlock,FileInformation,Length,FileInformationClass);
}

您的意思我我在我的替换函数中调用真正的ZwSetInformationFile函数前调用一下ZwQueryInformationFile 函数吗？这样来得到操作的文件名称，在进行判断如果不是要保护的文件的时候，就执行ZwSetInformationFile，否则跳过，是这样的吗？？？

回复喜欢

zgc7622 驱动小牛注册日期2003-02-24 最后登录2016-01-09 粉丝0 关注0 积分136分威望15点贡献值0点好评度13点原创分0分专家分0分加关注写私信	5楼^# 发布于：2003-12-26 16:02 谢谢您了,我的问题搞定了. [编辑 - 1/31/04 by zgc7622]
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册

最新喜欢：