minifilter中替换PreCreate中DesiredAccess的问题

楼主^#

更多发布于：2012-05-14 11:22

我想禁止读某个文件，可以通过返回ACCESS_DENIED实现

但是如果通过修改DesiredAccess实现可不可以呢？

比如下面禁止读123456这个文件

if(strstr(asName.Buffer,"123456") > 0)
{
   PCHAR pszImageName = (PCHAR)PsGetCurrentProcess() + ImageFileNameOffset;
   DbgPrint("PreCreate %s -> %s [%08X]\n",pszImageName,asName.Buffer,Data->Iopb->Parameters.Create.SecurityContext->DesiredAccess);
   Data->Iopb->Parameters.Create.SecurityContext->DesiredAccess &= ~FILE_GENERIC_READ;
   FltSetCallbackDataDirty(Data);
   DbgPrint("PreCreate %s -> %s [%08X]\n",pszImageName,asName.Buffer,Data->Iopb->Parameters.Create.SecurityContext->DesiredAccess);
}

这样之后看到dbgview中已经改了DesiredAccess。

但是应用程序依然能读数据。。为啥呢。。

禁止读同理不可行。。

求做过类似应用的大牛指点。。

喜欢0

mengxp 驱动牛犊注册日期2006-07-11 最后登录2017-07-12 粉丝1 关注1 积分34分威望243点贡献值0点好评度0点原创分0分专家分10分加关注写私信	沙发^# 发布于：2012-05-14 11:51 又是刚贴出来就解决了。。。我贴一下吧还是。。 Data->Iopb->Parameters.Create.SecurityContext->AccessState->RemainingDesiredAccess &= ~FILE_GENERIC_READ;
	回复(0) 喜欢(0)

发帖回复

« 返回列表

您需要登录后才可以回帖，登录或者注册

返回顶部

minifilter中替换PreCreate中DesiredAccess的问题

最新喜欢：