|
20楼#
发布于:2007-06-05 14:50
老大,unload蓝屏
|
|
|
21楼#
发布于:2007-06-07 16:38
老大,unload蓝屏,这样一来,测试很不便啊
|
|
|
22楼#
发布于:2007-06-07 16:42
lsxredrain 大哥进来
你的filespy修改版本unload时蓝屏,没法调试啊? |
|
|
23楼#
发布于:2007-06-08 12:11
为什么filespy中的wite,read对文件偏移,
还有文件结没有相应的处理呢? 请教NR |
|
|
|
24楼#
发布于:2007-06-08 19:58
用附件中的工具可以调试
|
|
|
|
25楼#
发布于:2007-06-10 15:05
编译的时候少了两个文件:filespyLib.h和namelookupdef.h,这两个文件是不是原版的filespy所带的文件?LZ能否顺便把原版的filespy也放上来?
|
|
|
|
26楼#
发布于:2007-06-11 09:07
如果有winddk,建议把filespy上一层的目录的文件都编译一下
|
|
|
|
27楼#
发布于:2007-06-13 13:46
NTSTATUS
SpyCreate ( IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp ) { } 请问为什么在这个例程中FileObject->FsContext的值都是0 ?? |
|
|
28楼#
发布于:2007-06-13 14:13
我不同意楼上的说法,FILEMON为我们编写文件过滤驱动提供了一个最好的模型,并不是"不正规的玩意",相反filespy我个人认为在框架上不如FILEMON好.
当然,这仅仅是我个人的观点 |
|
|
29楼#
发布于:2007-06-14 18:09
 终于解决了文件上下文与杀毒软件冲突的问题,自己构造hash来存文件名和加密标记,使用 KeAcquireSpinLock( &gHashLockTable[hashIndex], &oldIrql ); KeReleaseSpinLock( &gHashLockTable[hashIndex], oldIrql ); 来同步文件上下文表,不要用 KeInitializeEvent(&Event, NotificationEvent, FALSE); KeWaitForSingleObject(&Event, Executive, KernelMode, FALSE, NULL); 来同步 附件测试程序只支持xp ,默人文件规则是*.DOC; 可以对电脑上所有的DOC,包括系统目录进行记录. 重命名也能捕获到. |
|
|
|
30楼#
发布于:2007-06-15 17:22
文件一旦大于200K,楼主的代码就会死机.
BugCheck: PAGE_FAULT_IN_NONPAGED_AREA (50) |
|
|
|
31楼#
发布于:2007-06-23 11:57
引用第30楼jl2004于2007-06-15 17:22发表的 : 已经解决了,几十M的文件加密解密都没有问题,很流畅, 在文件上下文列表中不存文件名,及时清空已经删除的文件的文件上下文. 现在在各种杀毒软件下都运行很正常了.加密标记我还是决定用压缩法,不想用扩展法. |
|
|
32楼#
发布于:2007-06-26 20:36
lsxredrain老大,您现在可以下载的filespy.rar是最新的解决了大文件问题的吗?
Thank you |
|
|
|
33楼#
发布于:2007-06-27 15:50
楼顶的代码应该没有问题的,
|
|
|
34楼#
发布于:2007-07-19 12:58
问一句:
什么是压缩法,什么是扩展法?? |
|
|
35楼#
发布于:2007-07-19 13:46
为了加入加密标记
,要么把文件压缩小一点加标记, 要么把文件扩展大一点加标记 但却又必须让应用层觉得文件大小没有变 压缩法维持文件大小不变容易,而且基本上可以做到与操作系统无关 扩展法就比较难了, |
|
|
36楼#
发布于:2007-07-19 15:04
能具体讲讲如何个压缩
|
|
|
|
37楼#
发布于:2007-07-19 15:34
在内存中压缩,
压缩动作可以在驱动中做, 不过前提是要找到好的C语言的压缩算法, 也可以在应用层做,应用层的压缩算法和现成的dll都很多 不过必须应用层与驱动层形成一个稳定的消息机制 |
|
|
38楼#
发布于:2007-07-19 15:43
好!
|
|
|
39楼#
发布于:2007-07-19 15:46
顶一下
|
|