|
阅读:1114回复:3
各位大哥,请教一个文件驱动问题?
我做了一个基于sfilter结构文件过滤文件驱动,实现对文件加密读写,并记录用户做过那些操作(创建文件,修改文件,删除文件,创建文件夹,修改文件夹),加密读写基本实现,但是在记录操作日志遇到一个问题,我的想法是在IRP_MJ_CREATE的处理函数记录创建文件,在IRP_MJ_SET_INFORMATION的处理函数记录修改文件,但实际创建一个新的文件,会收到几次IRP_MJ_CREATE消息,甚至是在打开一个文件夹也会收到IRP_MJ_CREATE消息,导致我记录日志不准确,IRP_MJ_SET_INFORMATION也有类似的情况。请各位大哥给点指点,是不是我的实现思路有问题?我刚开始接触驱动开发,向各位大哥学习,不要笑话我啊,,,,呵呵,期待大家能帮助我。。
|
|
|
沙发#
发布于:2007-11-06 00:54
不懂,帮顶
|
|
|
板凳#
发布于:2007-11-06 13:44
IRP_MJ_CREATE中很多参数是可以得到打开的是文件还是文件夹的,
自己确定一个就行了.(你的思路应没有问题),不过最好把进程过滤一下, 因为有些进程如 explorer也会打开的文件夹的. 如果你只要记录的话(推荐你用filemon,比较好用) |
|
|
|
地板#
发布于:2007-11-07 08:37
谢谢 abc13271552。。。。,尝试中。。。,有问题在请教。
|
|