假如有人从网络邻居访问我的文件，能从文件驱动中得到它的ip地址吗？

假如有人从网络邻居访问我的文件，能从文件驱动中得到他的ip地址吗？

我现在只能知道他访问的是哪一个文件，却不知道是哪一个ip访问的。

如果从文件驱动中不能的到ip地址，还有其他办法吗？

[编辑 -  11/8/04 by  aasa2]

可以的。

不过涉及到保密性，就不说了。

可以的。

不过涉及到保密性，就不说了。

应该还是可能的，根据线程的ImpersonationToken可以得到对方用户的信息

TO:punk
ImpersonationToken这个函数我在2000DDK中找不到。

TO:nustzhua
能否给一点点提示。我不需要代码，只要提示就行。
aasa2@21cn.com

是不是要添加一个TDI过滤驱动？

是啊，给点提示么！

N年前的贴子,我也顶一下,因为我为了这个问题,花了3个多月了,高手们,大牛们,帮一下小弟吧!

你用filemon监控一下就清楚了,没那么复杂.

这是QQ群的公告

每年一题：
文件过滤系统驱动中，某文件被远程主机访问时，获得该主机IP或计算机名的方法。

//从IrpStackLocation中判断来自网络的文件访问
BOOLEAN
SfIsFromNetAccess(
     PIO_STACK_LOCATION IrpSp
     )
{
     NTSTATUS status;
     PACCESS_TOKEN pToken = NULL;
     PTOKEN_SOURCE pTokenSrc = NULL ;
     PSECURITY_SUBJECT_CONTEXT secSubCtx;
     //PIO_STACK_LOCATION IrpSp = IoGetCurrentIrpStackLocation(Irp);
    
     secSubCtx = &(IrpSp->Parameters.Create.SecurityContext->AccessState->SubjectSecurityContext);

     if (secSubCtx->ClientToken != NULL || secSubCtx->PrimaryToken != NULL)
     {
           pToken = SeQuerySubjectContextToken(secSubCtx);
     }
    
     if (pToken == NULL)
     {
           //KdPrint(("SeQuerySubjectContextToken Errorn"));
           return FALSE;
     }

//
// Get TokenSource Name If SourceName is "NtLmSsp" it was logged-in via Lanmanager,
// "User32" represents localy logged-in users.
//
__try
{
     status = SeQueryInformationToken(pToken,TokenSource,&pTokenSrc);
     if (NT_SUCCESS(status))
     {
           pTokenSrc->SourceName[TOKEN_SOURCE_LENGTH-1] = 0x00;
          
           KdPrint(("Token Name :%s Len:%dn",pTokenSrc->SourceName,strlen(pTokenSrc->SourceName)));
    
           if (_stricmp(pTokenSrc->SourceName,"NtLmSsp") == 0 )
           {
                 KdPrint(("NetWork Access Token Findn"));
                 return TRUE;
           }
     }
     else
     {
           KdPrint(("SeQueryInformationToken Error:0x%xn",status));
     }
}
__finally
{
     ExFreePool(pTokenSrc);
}
     return FALSE;
}

从srv.sys 调用到文件系统的时候，实际上能拿到对方ip的，提示一下而已，不可能给源码

"NtLmSsp"

顶 终于从海里捞到这东东了 呵呵.......

>3. Can the hostname of the workstation initiating each type of file
>request on the client be correctly obtained in the file system filter
>driver on the server?


SeQueryInformationToken or LsaCallAuthenticationPackage with some undocumented
info class. I believe that the client machine name is kept somewhere in LSA.

我现在也在想做同样的东西，先顶一下看有没人回答