首页>驱动开发>文件系统(过滤)驱动程序开发>为什么抓不到notepad.exe读文件的IRP啊?
回复
« 返回列表
Adragonsoftware
Adragonsoftware
驱动牛犊
驱动牛犊
  • 注册日期2003-08-25
  • 最后登录2014-12-15
  • 粉丝0
  • 关注0
  • 积分4分
  • 威望35点
  • 贡献值0点
  • 好评度14点
  • 原创分0分
  • 专家分0分
写私信
阅读:2951回复:12

为什么抓不到notepad.exe读文件的IRP啊?

楼主#
更多 发布于:2008-03-13 22:23
notepad写文件是irp_mj_write,
为什么读文件时候是create和query啊?
notepad不irp_read怎么把文件内容读出来的啊,奇怪
喜欢0
回复
Adragonsoftware
Adragonsoftware
驱动牛犊
驱动牛犊
  • 注册日期2003-08-25
  • 最后登录2014-12-15
  • 粉丝0
  • 关注0
  • 积分4分
  • 威望35点
  • 贡献值0点
  • 好评度14点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2008-03-13 22:27
注明:是minifilter
回复(0) 喜欢(0)
Adragonsoftware
Adragonsoftware
驱动牛犊
驱动牛犊
  • 注册日期2003-08-25
  • 最后登录2014-12-15
  • 粉丝0
  • 关注0
  • 积分4分
  • 威望35点
  • 贡献值0点
  • 好评度14点
  • 原创分0分
  • 专家分0分
写私信
板凳#
发布于:2008-03-13 22:33
谢谢
回复(0) 喜欢(0)
michaelgz
michaelgz
论坛版主
论坛版主
  • 注册日期2005-01-26
  • 最后登录2012-10-22
  • 粉丝1
  • 关注1
  • 积分150分
  • 威望1524点
  • 贡献值1点
  • 好评度213点
  • 原创分0分
  • 专家分2分
写私信
地板#
发布于:2008-03-13 22:35
You'd better show your READ logic here.

FileSpy and FileMon are great tools to trace IRPs.
回复(0) 喜欢(0)
Adragonsoftware
Adragonsoftware
驱动牛犊
驱动牛犊
  • 注册日期2003-08-25
  • 最后登录2014-12-15
  • 粉丝0
  • 关注0
  • 积分4分
  • 威望35点
  • 贡献值0点
  • 好评度14点
  • 原创分0分
  • 专家分0分
写私信
地下室#
发布于:2008-03-13 22:47
我用的是minifilter,在preread和postread里都抓不到notepad读。
用irp tracker和filespy也抓不到notepad的irp_mj_read。
那notepad到底是用什么读的呢。
我抓到的irp是,create,queryinfo,close,cleanup,就是没有read。
回复(0) 喜欢(0)
microbe
microbe
驱动小牛
驱动小牛
  • 注册日期2007-12-10
  • 最后登录2011-01-17
  • 粉丝1
  • 关注0
  • 积分914分
  • 威望420点
  • 贡献值1点
  • 好评度88点
  • 原创分0分
  • 专家分1分
写私信
5楼#
发布于:2008-03-14 11:37
比较小的文件,系统可能已经将其预读了,你搞一个N大的记事本文件,肯定会发现notepad读的。。。
回复(0) 喜欢(0)
Adragonsoftware
Adragonsoftware
驱动牛犊
驱动牛犊
  • 注册日期2003-08-25
  • 最后登录2014-12-15
  • 粉丝0
  • 关注0
  • 积分4分
  • 威望35点
  • 贡献值0点
  • 好评度14点
  • 原创分0分
  • 专家分0分
写私信
6楼#
发布于:2008-03-14 12:38
那我怎么抓啊?
回复(0) 喜欢(0)
clarence
clarence
驱动牛犊
驱动牛犊
  • 注册日期2006-05-08
  • 最后登录2009-09-30
  • 粉丝0
  • 关注0
  • 积分2分
  • 威望97点
  • 贡献值0点
  • 好评度76点
  • 原创分0分
  • 专家分0分
写私信
7楼#
发布于:2008-03-14 14:03
notepad用的是文件映射
回复(0) 喜欢(0)
j965829
j965829
驱动牛犊
驱动牛犊
  • 注册日期2003-12-18
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分1分
  • 威望29点
  • 贡献值0点
  • 好评度12点
  • 原创分0分
  • 专家分0分
写私信
8楼#
发布于:2008-06-11 14:45
用notepad用的是文件映射在IFS中怎么处理?
回复(0) 喜欢(0)
stpaladin
stpaladin
驱动牛犊
驱动牛犊
  • 注册日期2008-06-19
  • 最后登录2010-12-29
  • 粉丝0
  • 关注0
  • 积分10分
  • 威望39点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
9楼#
发布于:2008-07-09 14:08
帮楼主顶,我也是这个问题
回复(0) 喜欢(0)
stpaladin
stpaladin
驱动牛犊
驱动牛犊
  • 注册日期2008-06-19
  • 最后登录2010-12-29
  • 粉丝0
  • 关注0
  • 积分10分
  • 威望39点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
10楼#
发布于:2008-07-15 15:04
继续顶
回复(0) 喜欢(0)
dreamsity
dreamsity
驱动小牛
驱动小牛
  • 注册日期2006-09-01
  • 最后登录2013-07-04
  • 粉丝0
  • 关注0
  • 积分40分
  • 威望821点
  • 贡献值1点
  • 好评度68点
  • 原创分1分
  • 专家分0分
写私信
11楼#
发布于:2008-07-17 16:47
notepad使用的是内存映射方式访问文件,
在explorer.exe中使用鼠标双击打开文件时,
(1)exploerer打开文件,关闭文件。
(2)notepad打开文件,使用内存映射读数据,关闭文件。
如果Cache管理器引用了(1)中的FileObject,
那么(2)中的读数据,就有可能是使用(1)中的FileObject进行操作的。
一切都是时间问题!
回复(0) 喜欢(0)
zmb921
zmb921
驱动牛犊
驱动牛犊
  • 注册日期2005-11-15
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分91分
  • 威望146点
  • 贡献值1点
  • 好评度21点
  • 原创分0分
  • 专家分0分
写私信
12楼#
发布于:2008-09-05 15:25
帮顶,我还是这个问题
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部