TO nustzhua :
非常感谢！以后有什么问题，还请多指教！

很奇怪，为什么你会觉得我是学着玩玩， :(
看来是态度不太认真。 :)

ntfs有这样的安全特性我知道，
我的任务就是要把这个特性模拟出来，
而关于这方面的资料很少，也没人指导，所以很郁闷阿！

打开一个文件有3-4个IRP_MJ_CREATE IRP，而且是连续的。

可用锁来解决。

对于这种方式认证方式，我一直对可行性存在怀疑，有时间我试试。


最土的办法，访问就denied,然后弹出对话框，认证，行的话，用户再click一次就可以。我觉得这种折中的办法较可行。


IRP_MJ_CREATE有许多特殊的地方，要多多细心研究。


to nustzhua :

NT安全机制有一个弱点，同时管理员，可以相互更改其权限。你设置不行,如果大家都是管理员，我照访问。可用filter,你连门都没有。

除非你改注册表，可是如果filter连reg都hook,才是我的东东只有我能访问。

“最土的办法，访问就denied,然后弹出对话框，认证，行的话，用户再click一次就可以”
这种办法到是不错，就是用户用起来不太方便。
vcmfc说的对，用filter的话，会安全一点。

to vcmfc:
我想实现的就是你说的那种最土的办法，以filemon的框架为基础，
还请大侠多指点一下。

按照我前面的想法，在FilemonHookRoutine中的
case IRP_MJ_CREATE:下，
KeSetEvent(Irp->UserEvent,2,FALSE);
Irp->IoStatus.Status=STATUS_PENDING；
Irp->IoStatus.Information=0;
IoMarkIrpPending(Irp);
hookExt->CreateIrp=Irp;
return STATUS_PENDING;

这样的办法行得通吗？如果不行，应该从哪下手呢？

还有，在IFS中，Types of I/O Requests That Are Sent to a Volume和Types of I/O Requests That Are Sent to a File System有很大的差别；反映在源码中，filemondeviceroutine中用的是Types of I/O Requests That Are Sent to a File System，而在filemonhookroutine中用的是Types of I/O Requests That Are Sent to a Volume
能不能帮忙解释一下？

没有办法，不懂的地方太多了，还请多见谅！

 :)

又问这个问题啊。我试着回答啊。
首先表现在源码中，filemondeviceroutine接受所有发送到filemon这个filter的irp.
filemonhookroutine接受到的是所有发送到filemon下面一个driver的irp.
Types of I/O Requests That Are Sent to a Volume 是对一个voulm的irp请求，
而Types of I/O Requests That Are Sent to a File System是对文件系统本身的irp请求，
这个从这两句话就可以看出来啊。
同一个Volume可能有好几个File System，它们是层状结构。现在filemon位于这个层状结构的
最上层。所以它能得到所有对硬盘文件的访问（这儿好像有问题，filemon好像监控的只是一部分文件）。

为什么用DDK编译得到的SYS文件只有56.2k，而在EXE文件夹中的SYS文件却有187k？
我把187K的SYS文件用56.2k的代替，就会出错：
“Error loading...:2:系统找不到指定的文件”
怎么回事？
请各位高手指点！

如果你是在2k下用2k ddk编译的而却在nt下使用，会有这个问题。

我说的都是Filemon源码中的，怎么回事呢？
而且我用的是2kDDK,操作系统也是w2k server
应该不会有问题吧

我下载了filemon 的代码
为什么你们提到的 函数，我这一个也没有呢
请问那样还要下载的地方
在这里感谢了

那位大侠 发一份 代码，好吗？
lky@21mail.com

再次感谢

楼上的，换个邮箱，好像发不出去哦！
不过本站上有，你自己找一下！

已经发了

谢谢了
已经收到

实在找不到filemon的代码，劳驾哪位给再发一份，多谢！
sunxinwei@yahoo.com