9x下如何知道那个进程建立了文件钩子

楼主^#

更多发布于：2003-01-24 08:39

我想监控系统中的文件钩子，参考了本站的那个IFS钩子监控的例子，现在的问题是想知道文件钩子是由哪个进程建立的,如何得到相应钩子的进程名？系统缺省的文件钩子的入口地址是不是固定的？

喜欢0

yuxuehu

驱动小牛

注册日期2002-05-13
最后登录2008-04-03
粉丝0
关注0
积分10分
威望1点
贡献值0点
好评度0点
原创分0分
专家分0分

加关注写私信

沙发^#

发布于：2003-01-24 10:11

刚好我这里有一个,可以参考一下

int _cdecl FMS_FileHook(pIFSFunc pfn, int fn, int Drive, int ResType, int CodePage, pioreq pir);

BOOL FmsystemDevice::OnSysDynamicDeviceInit()
{
if(NULL==(ppPrevHook=IFSMgr_InstallFileSystemApiHook(FMS_FileHook)))
return FALSE;
return TRUE;
}

int _cdecl FMS_FileHook(pIFSFunc pfn, int fn, int Drive, int ResType, int CodePage, pioreq pir)
{
int nResult=0;
while(1) {
switch(fn) {
case IFSFN_OPEN:
nResult = 1;
break;
case IFSFN_READ:
nResult = 1;
break;
case IFSFN_WRITE:
nResult = 1;
break;
}
break;
}
nResult = (**ppPrevHook)(pfn, fn, Drive, ResType, CodePage, pir);
return nResult;
}

回复喜欢

yuxuehu 驱动小牛注册日期2002-05-13 最后登录2008-04-03 粉丝0 关注0 积分10分威望1点贡献值0点好评度0点原创分0分专家分0分加关注写私信	板凳^# 发布于：2003-01-24 10:13 哦,忘了这些 ppIFSFileHookFunc ppPrevHook; BOOL FmsystemDevice::OnSysDynamicDeviceExit() { if (ppPrevHook) { IFSMgr_RemoveFileSystemApiHook(FMS_FileHook); } return TRUE; }
	回复(0) 喜欢(0)

发帖回复

« 返回列表

您需要登录后才可以回帖，登录或者注册

返回顶部

9x下 如何知道那个进程建立了文件钩子

最新喜欢：

9x下如何知道那个进程建立了文件钩子