阅读:2386回复:13
请问如何截获对硬盘的访问。给点思路
:confused:
请问如何截获对硬盘的访问,用到wdm了吗?这样的驱动程序应该怎么写。能不能给点思路。 btw:CompleteRequest 和 CompletionRoutine 分别是什么意思?他们之间的关系呢? |
|
最新喜欢:![]() |
沙发#
发布于:2001-04-28 13:14
File System Filter Driver应该可以做到.
|
|
|
板凳#
发布于:2001-04-29 20:44
有例子吗?能不能给个例子程序呢?拜托了。
|
|
地板#
发布于:2001-04-29 22:05
去www.sysinternals.com下filemon
|
|
|
地下室#
发布于:2001-04-30 08:30
我觉得也可以这样,利用IFS,自己安装个HOOK,然后判断你访问的文件目录中是否有“C:\”等字样,即可。
|
|
|
5楼#
发布于:2001-04-30 20:22
filemon这个例子我已经从driverdevelop上download下来了,我现在也在看walty oney 的书,不过我发觉filemon有点奇怪他居然没有AddDevice(PDEVICE_OBEJECT pdo,PUNCODE_STRING pEntry)这个函数?!!!!
我还有一个问题是 AddDevice函数中的pdo 代表什么物理设备对象。是usb?pci?或者是其他的什么? 还有谁研究过filemon这个程序吗?能不能给我讲一讲filemon的程序流程呀! 非常感谢各位的帮助,我急用!谢谢 |
|
6楼#
发布于:2001-05-05 12:08
连驱动的“设备”都不知道?
还是要好好看看ddk啊。 pdo就是内核用来管理功能模块的一块内存的指针 |
|
|
7楼#
发布于:2002-05-11 20:46
www.sysinternals.com这个网址连不上
|
|
8楼#
发布于:2002-05-12 00:08
可惜我现在没有空写一个驱动程序!其实你只要ATTACHPARTITION0就可以了!或者是这样,你ATTACH所有的卷,你用WINOBJ(SDK)里面带有的工具,看看??里面的C,D对应的设备名称,然后ATTACH就可以了,FILEMON是不能拦截到对整个硬盘的读写请求的!因为他根本就没有ATTACH到PARTITION0这个设备上面,用WINOBJ这个程序可以看见到各个盘符对应的设备名称!DDK下有这样的例子在src\\storage\\filters\\diskperf就是了,自己研究吧!你也可以写一个驱动程序,拦截在分区管理器之下的驱动程序!这样的话比较简单,但是我还不知道怎么拦截多个硬盘的情况,因为自己没有这样的硬件!也没有这个心情去研究
|
|
9楼#
发布于:2002-05-13 10:12
我做了一个适合于初学者的硬盘监控例子,刚提交给源代码分析了。估计还没通过审查。再等等吧。 :D :D :D
|
|
|
10楼#
发布于:2002-05-13 11:05
看这个:
http://www.driverdevelop.com/read.php?t=S&id=346 |
|
|
11楼#
发布于:2002-05-13 15:12
你的这个例子是在文件系统之上的啊!有问题的,当针对整个硬盘进行读写的时候你的驱动程序的原理是监控不到的!我曾经给一位网友发过一个简单的驱动程序,不知道他有没有看到,看到的话希望他把那个驱动程序贴出来!其实也很简单的!
|
|
12楼#
发布于:2002-05-14 08:40
你的这个例子是在文件系统之上的啊!有问题的,当针对整个硬盘进行读写的时候你的驱动程序的原理是监控不到的!我曾经给一位网友发过一个简单的驱动程序,不知道他有没有看到,看到的话希望他把那个驱动程序贴出来!其实也很简单的! 你说的不错,严格意义上说这个驱动程序是个文件过滤驱动程序。FileSpy嘛。是我表述有误。谢谢指正! :D |
|
|
13楼#
发布于:2002-05-14 09:25
filemon这个例子我已经从driverdevelop上download下来了,我现在也在看walty oney 的书,不过我发觉filemon有点奇怪他居然没有AddDevice(PDEVICE_OBEJECT pdo,PUNCODE_STRING pEntry)这个函数?!!!! 文件系统过滤驱动程序不是WDM,而是KMD,它是一个非PNP设备,一般不处理电源请求。所以它一定是没有AddDevice例程的。 |
|
|