如何在驱动层获取当前访问进程对应的应用程序(不是进程)的完整路径?

楼主^#

更多发布于：2007-03-28 14:43

因工作需要,需要对某些敏感文件进行监控. 某程序(如xxx.exe)对敏感操作(如word进行了读写操作),我需要使用文件过滤驱动对其操作进行监控制,记录下是什么程序,什么时候对哪个敏感文件进行了操作. 其中获取程序(当前进程对应的程序)的完整路径我没办法搞定.写出来供各位高手讨论. 谢谢大家.

wowocock

VIP专家组

加关注写私信

沙发^#

发布于：2007-03-29 09:23

SFILTER在发IRP过来后,是位于进程空间内所以可以直接从PEB里面获得路径,代码满大街都是,自己找找吧.

花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠

回复喜欢

xikug

驱动小牛

加关注写私信

板凳^#

发布于：2007-03-29 09:59

这个问题已经被问烂了...

http://www.debugman.com

回复喜欢

发帖回复

您需要登录后才可以回帖，登录或者注册