|
阅读:1357回复:3
请教如何截获所有文件的打开和新建操作(不用Irp)
要实现一个文件的监视同时做相应加解密的驱动,由于一些效率和复杂性的原因,没有使用类似filemon的截获Irp的方法,而是使用了hook系统调用NtOpenFile/NtCreateFile(还有文件读写以及关闭的相应函数)的方法,一旦发现有相关文件的操作就建立一个临时文件,将对原来文件的操作转换为对临时文件的操作。
但是现在遇到的问题是NtOpenFile/NtCreatFile好像并不能截获所有关于获得文件句柄的操作,例如通过网络邻居直接访问某个文件就没有得到其相应文件的操作,因此想请教各位大侠还有其他那些系统调用可以获得对文件的访问呢,先多谢大家指点 |
|
最新喜欢: ljmmar...
|
|
沙发#
发布于:2004-06-30 20:46
使用NtOpenFile/NtCreateFile效率会高很多吗?不见得,文件关闭不需要处理吗?
|
|
|
|
板凳#
发布于:2004-06-30 21:09
关闭操作肯定是要处理的,否则就不会使文件处理操作真正生效。效率的问题我考虑过一些,由于文件访问的频繁性以及实时加解密中可能会有问题(加密文件不一定和源文件等长),所以才用了hook系统调用的方法
但是现在却发现完全可能不经过open/create来访问文件,所以想请教大家还有哪些方法可以获得文件句柄或者没有明确生成文件句柄但是可以对文件进行访问 |
|
|
地板#
发布于:2004-07-01 10:53
你好!
我也在作类似的工作!对于网络的操作,应该是可行的! 希望我们能进一步交流!加密可以用别的算法。 QQ:4932992 |
|
|