|
阅读:7837回复:42
第二次更新(下载不要积分啦!!)filemon学习笔记,绝对原创.
(为了纪念今天比较彻底的看懂了Filemon,下载就不有积分啦。贡献给大家。)
学习文件过滤驱动一个多月来的一点笔记.给大家分享一下.觉得filemon还是比较好理解,只是有很多地方没有怎么看过文件系统的知识,所以有的地方写不出来为什么. 要点积分,希望大家不要见怪........ 更新:对于文件的删除,应该是IRP_MJ_SETINFORMATION中的"FileDispositionInformation", 而对于文件的重命名:则是:“FileRenameInformation”今天仔细看了一下关于文件路径的获取的那一段。 // Ask the file system for the name of the file, which its required to be // able to provide for the Win32 filename query function. We could use the // undocumented , but then we'd have to worry about // re-entrancy issues, since that call generates the IRP that we create // manually here. Since we send the IRP to the FSD below us, we don't need // to worry about seeing the IRP in our dispatch entry point. This can fail // in some cases, so we fall back on constructing the name ourselves if // we have to. 这个说明filmon本来考虑过用未公开化的函数 ObQueryNameString( )来得到文件的路径,但是由于可能会导致死锁。 还有就是会可能有重入的危险,因此是使用的我们常看到的自建IRP来查寻文件信息(IRP_MJ_QUERY_INFORMATION) 来查寻文件信息,这个处理方法是比较好的。不过我发现它的处理中是把IRP_MJ_CREATE**排除在外的。这一点没有想 明白是怎么要这么做。在IRP_MJ_CREATE的IRP时候,会直接从fileobject中得到文件路径,这一点我认为不是很准确。希望 大家说一下自己的看法 另附上我的注释版的Filemon的源文件。认为有帮助下了就回一下贴吧。这次就免费献给大家了。 |
|
|
|
沙发#
发布于:2010-01-06 23:14
瞧瞧
|
|
|
板凳#
发布于:2010-01-06 23:15
学习学习
|
|
|
地板#
发布于:2010-01-07 08:48
怎么看不到?
|
|
|
地下室#
发布于:2010-01-07 13:19
学习一下,3ks
|
|
|
5楼#
发布于:2010-01-07 13:44
kankan xueix
|
|
|
6楼#
发布于:2010-01-07 17:19
look
|
|
|
7楼#
发布于:2010-01-07 17:21
看不到
|
|
|
8楼#
发布于:2010-01-08 08:52
have a look
|
|
|
9楼#
发布于:2010-01-08 09:23
你的心得呢,怎么看不到
|
|
|
10楼#
发布于:2010-01-08 09:31
回 9楼(xjyoung) 的帖子
要先回复哈.才来驱网.不是很会弄. |
|
|
11楼#
发布于:2010-01-08 17:41
看不到
|
|
|
12楼#
发布于:2010-01-09 19:10
回 楼主(firfor) 的帖子
看看是什么东西 |
|
|
|
13楼#
发布于:2010-01-11 11:54
Re
学习学习. |
|
|
|
14楼#
发布于:2010-01-11 12:00
学习
|
|
|
15楼#
发布于:2010-01-11 20:41
学习学习.
|
|
|
16楼#
发布于:2010-01-12 16:25
回复一下学习一下。。。
|
|
|
17楼#
发布于:2010-01-12 18:20
看看
|
|
|
18楼#
发布于:2010-01-12 19:12
学习学习
|
|
|
|
19楼#
发布于:2010-01-12 20:31
学习学习了
|
|
上一页
下一页