首页>驱动开发>文件系统(过滤)驱动程序开发>磁盘层上挂接了我的驱动,怎样获取IRP_MJ_WRITE对应...
回复
« 返回列表
guobing_xu
guobing_xu
驱动牛犊
驱动牛犊
  • 注册日期2007-01-15
  • 最后登录2007-03-26
  • 粉丝0
  • 关注0
  • 积分160分
  • 威望17点
  • 贡献值0点
  • 好评度16点
  • 原创分0分
  • 专家分0分
写私信
阅读:1673回复:9

磁盘层上挂接了我的驱动,怎样获取IRP_MJ_WRITE对应应用程序名!大侠多帮忙!!!!

楼主#
更多 发布于:2007-03-12 11:05
  我在磁盘层上挂接了我的驱动,这时候监控IRP_MJ_WRITE,想知道是哪个应用程序产生的这个中断,我用getprocessid获取到的大部分是system,进行数据写入,
我怎么做才能够知道,具体是哪个应用程序在写数据呢。例如:有个程序叫test.exe,它从d盘拷贝数据到e盘,我监控e盘的IRP_MJ_WRITE,我怎么能够准确的知道,
哪个IRP_MJ_WRITE是test.exe,产生的呢,?希望各位大侠多指导,找不到答案郁闷阿!!!
喜欢0
回复
我最老实
我最老实
驱动小牛
驱动小牛
  • 注册日期2005-09-11
  • 最后登录2010-01-27
  • 粉丝0
  • 关注0
  • 积分10分
  • 威望253点
  • 贡献值0点
  • 好评度189点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2007-03-12 11:19
目前看 你只有实现自己的文件系统来为每一各磁盘I/O IRP增加一个名称字段来跟踪
养牛专业户
回复(0) 喜欢(0)
guobing_xu
guobing_xu
驱动牛犊
驱动牛犊
  • 注册日期2007-01-15
  • 最后登录2007-03-26
  • 粉丝0
  • 关注0
  • 积分160分
  • 威望17点
  • 贡献值0点
  • 好评度16点
  • 原创分0分
  • 专家分0分
写私信
板凳#
发布于:2007-03-12 12:11
我最老实大侠,请问我应该在哪里挂接呢, 如果我在文件系统上面挂接,这个irp的字段是否可以被传下来,在什么字段里修改,是否可以明示!谢谢
回复(0) 喜欢(0)
devil209
devil209
驱动牛犊
驱动牛犊
  • 注册日期2007-01-25
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分732分
  • 威望94点
  • 贡献值0点
  • 好评度73点
  • 原创分0分
  • 专家分0分
写私信
地板#
发布于:2007-03-12 12:18
fliemon里面有源码!
回复(0) 喜欢(0)
yuanyuan
yuanyuan
驱动大牛
驱动大牛
  • 注册日期2003-01-15
  • 最后登录2010-08-04
  • 粉丝0
  • 关注0
  • 积分1025分
  • 威望300点
  • 贡献值0点
  • 好评度232点
  • 原创分0分
  • 专家分0分
写私信
地下室#
发布于:2007-03-12 13:31
磁盘层,几乎不可能实现这样的
回复(0) 喜欢(0)
我最老实
我最老实
驱动小牛
驱动小牛
  • 注册日期2005-09-11
  • 最后登录2010-01-27
  • 粉丝0
  • 关注0
  • 积分10分
  • 威望253点
  • 贡献值0点
  • 好评度189点
  • 原创分0分
  • 专家分0分
写私信
5楼#
发布于:2007-03-12 17:05
引用第4楼yuanyuan2007-03-12 13:31发表的“”:
磁盘层,几乎不可能实现这样的


如果是自己开发的文件系统,也不是不可能。
 
养牛专业户
回复(0) 喜欢(0)
yaolixing
yaolixing
驱动小牛
驱动小牛
  • 注册日期2006-06-27
  • 最后登录2010-07-15
  • 粉丝1
  • 关注0
  • 积分991分
  • 威望135点
  • 贡献值0点
  • 好评度124点
  • 原创分0分
  • 专家分0分
写私信
6楼#
发布于:2007-03-13 09:42
Re:磁盘层上挂接了我的驱动,怎样获取IRP_MJ_WRITE对应应用程序名!大侠多帮忙!
可以在文件系统过滤曾,通过irp,得到进程的eprocess结构,就可以解决楼主的问题,但是磁盘层,就不知道行不行
回复(0) 喜欢(0)
coolw
coolw
驱动牛犊
驱动牛犊
  • 注册日期2006-03-20
  • 最后登录2012-04-13
  • 粉丝0
  • 关注0
  • 积分521分
  • 威望65点
  • 贡献值0点
  • 好评度54点
  • 原创分0分
  • 专家分0分
写私信
7楼#
发布于:2007-03-13 16:08
PsGetCurrentProcess
回复(0) 喜欢(0)
youngwinter
youngwinter
驱动牛犊
驱动牛犊
  • 注册日期2004-08-23
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分363分
  • 威望39点
  • 贡献值0点
  • 好评度38点
  • 原创分0分
  • 专家分0分
写私信
8楼#
发布于:2007-03-13 20:41
Re:Re:磁盘层上挂接了我的驱动,怎样获取IRP_MJ_WRITE对应应用程序名!大侠多帮忙!
引用第6楼yaolixing2007-03-13 09:42发表的“Re:磁盘层上挂接了我的驱动,怎样获取IRP_MJ_WRITE对应应用程序名!大侠多帮忙!”:
可以在文件系统过滤曾,通过irp,得到进程的eprocess结构,就可以解决楼主的问题,但是磁盘层,就不知道行不行


通过IRP如何获得EPROCESS?请帮忙指点。
回复(0) 喜欢(0)
guobing_xu
guobing_xu
驱动牛犊
驱动牛犊
  • 注册日期2007-01-15
  • 最后登录2007-03-26
  • 粉丝0
  • 关注0
  • 积分160分
  • 威望17点
  • 贡献值0点
  • 好评度16点
  • 原创分0分
  • 专家分0分
写私信
9楼#
发布于:2007-03-14 22:26
通过PsGetCurrentProcess获取eprocess结构,一定不行啦,都获取的是系统进程
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部