|
阅读:1686回复:3
请问如何在Read或Write例程中删除当前文件?
如题,在ReadDispatch中拦截到对test.exe的Read操作的时候对它进行删除操作用ZwDeleteFile,为什么有时成功有时失败?
|
|
最新喜欢: rhpeng
|
|
沙发#
发布于:2004-03-19 21:25
可以把test.exe关掉试试,好像ObOpenObjectByPointer可以得到文件句柄hFile,那么直接用ZwClose就可以了。
文件不能操作应该就是因为当前文件已经处于打开状态了。 |
|
|
板凳#
发布于:2004-03-20 16:35
谢谢关注!
发现ObOpenObjectByPointer只能在CreateDispatch里得到hFile,而且和原有的hFile不一样。在其他地方一调系统就没有响应了。 我试过发IRP直接关闭FileObject,好像还是不行。 |
|
|
地板#
发布于:2004-03-21 09:58
直接发IRP关FileObject好像对Zw***没有帮助吧,除非是这样:IRPClose(FileObject);IRPDelete(FileObject);
IRPDelete指的是SET_INFORMATION_FILE |
|