|
阅读:1640回复:6
能在creat包里面判断“打开”操作么?
比如判断打开某word文档的操作,如果在create包里面利用
if(nt_success(irp_iostatus.status)) { 比较irp_iostatus.information是否是file_opened来判断是否是打开操作 } 那么就算点以下word单击下都被判断成打开了!!!! 这样来判断的话就根本不准确。 不知道那位牛人能解答下, 判断打开操作该在什么地方进行呢? |
|
|
沙发#
发布于:2007-04-19 07:53
那么就算点以下word单击下都被判断成打开了!!!!
其实系统(explorer进程)确实是打开了文件,并且非常频繁,你可以用FileMon跟踪一下就一目了然! 再者这样判断是否是打开文件的操作也是正确的。 |
|
|
|
板凳#
发布于:2007-04-19 14:28
那如何去判断双击打开?如何去区分?
上面的大牛,如果是在这里判断打开文件操作的话,那么双击打开的操作如何才能准确被判断? 如何和单击操作区分开呢? 获取句柄(单击打开)和完全打开(双击)还是不同的吧?如果需要记录 从什么地方用什么方法去判断? |
|
|
地板#
发布于:2007-04-19 17:49
头次听说有这种需求,
 !不晓得这两者有什么区别 |
|
|
|
地下室#
发布于:2007-04-19 18:40
过滤进程,把你不关心的进程的"打开"动作全部忽略.
|
|
|
5楼#
发布于:2007-04-19 22:22
跟过滤进程无关!
楼上的,现在这个问题跟过滤进程无关的。 重点是怎么判断和记录打开操作。你可以当我对所有进程对某些文件的操作的打开操作都感兴趣。 所以中心点还是在 真的在create包里面判断的打开操作是准确的么???? |
|
|
6楼#
发布于:2007-04-23 11:18
sunway_yin,我所说的"过滤进程"是特指要排除explorer的打开动作.
首先,在create包里面的判断打开动作是可信的,正因为如此,当你在资源管理器里的鼠标扫过文件或点击一下文件,都必定接到explorer打开该文件的create包,相信这些create包都不是你所需要的吧? 因此才提议你用进程过滤. |
|