首页>驱动开发>文件系统(过滤)驱动程序开发>文件过滤系统疑问-怎样获取产生IRP_MJ_WRITE的应用...
回复
« 返回列表
guobing_xu
guobing_xu
驱动牛犊
驱动牛犊
  • 注册日期2007-01-15
  • 最后登录2007-03-26
  • 粉丝0
  • 关注0
  • 积分160分
  • 威望17点
  • 贡献值0点
  • 好评度16点
  • 原创分0分
  • 专家分0分
写私信
阅读:1370回复:4

文件过滤系统疑问-怎样获取产生IRP_MJ_WRITE的应用程序名!

楼主#
更多 发布于:2007-03-06 01:06
  在文件过滤驱动中,我监控IRP_MJ_WRITE,这时候我想知道是哪个应用程序产生的这个中断,
我用psgetcurrentprocess,为什么,真正写数据的时候我得不到应用程序名啊,例如:有个程序
叫test.exe,它从d盘拷贝数据到e盘,我监控e盘的IRP_MJ_WRITE,我怎么能够准确的知道,哪个
IRP_MJ_WRITE是test.exe,产生的呢,?希望大侠指导![/size]
喜欢1

最新喜欢:

wingmanwingma...
回复
xmzhou_98
xmzhou_98
驱动牛犊
驱动牛犊
  • 注册日期2005-10-05
  • 最后登录2018-02-12
  • 粉丝0
  • 关注0
  • 积分8分
  • 威望80点
  • 贡献值0点
  • 好评度17点
  • 原创分0分
  • 专家分0分
写私信
  • 社区居民
沙发#
发布于:2007-03-06 08:36
似乎只能在IRP_MJ_CREATE中得到进程名,用链表在Create中记住进程名对应的FileObject,在IRP_MJ_Write中通过FileObject从链表中获得对应的进程名.
祝你好运
回复(0) 喜欢(0)
guobing_xu
guobing_xu
驱动牛犊
驱动牛犊
  • 注册日期2007-01-15
  • 最后登录2007-03-26
  • 粉丝0
  • 关注0
  • 积分160分
  • 威望17点
  • 贡献值0点
  • 好评度16点
  • 原创分0分
  • 专家分0分
写私信
板凳#
发布于:2007-03-06 11:02
谢谢,搞定向你汇报!
回复(0) 喜欢(0)
guobing_xu
guobing_xu
驱动牛犊
驱动牛犊
  • 注册日期2007-01-15
  • 最后登录2007-03-26
  • 粉丝0
  • 关注0
  • 积分160分
  • 威望17点
  • 贡献值0点
  • 好评度16点
  • 原创分0分
  • 专家分0分
写私信
地板#
发布于:2007-03-06 13:02
有做文件系统及其相关的兄弟,交流么,QQ:9984022
回复(0) 喜欢(0)
stevphen
stevphen
驱动牛犊
驱动牛犊
  • 注册日期2003-02-09
  • 最后登录2010-12-03
  • 粉丝0
  • 关注0
  • 积分573分
  • 威望87点
  • 贡献值1点
  • 好评度57点
  • 原创分0分
  • 专家分0分
写私信
地下室#
发布于:2007-04-12 18:34
PEPROCESS curproc = PsGetCurrentProcess();
        char *nameptr = (PCHAR)curproc + ProcessNameOffset;
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部