如何能捕获删除文件操作的IRP？ - Powered by phpwind

首页>驱动开发>文件系统(过滤)驱动程序开发>如何能捕获删除文件操作的IRP？

回复

« 返回列表

sqpcd 驱动牛犊注册日期2008-10-24 最后登录2010-05-12 粉丝0 关注0 积分24分威望171点贡献值1点好评度0点原创分0分专家分0分加关注写私信	阅读：1913回复：7 如何能捕获删除文件操作的IRP？楼主^# 更多只看楼主倒序阅读发布于：2008-11-18 13:27 最近小弟在做文件恢复方面的项目，看了很多资料，有没有大侠知道删除文件操作的IRP如何捕获啊？谢谢了！
	喜欢0 最新喜欢：回复

hyjtlyra2009

驱动牛犊

驱动牛犊

注册日期2008-09-10
最后登录2010-07-22
粉丝6
关注0
积分2分
威望323点
贡献值2点
好评度0点
原创分0分
专家分10分

加关注写私信

沙发^#

发布于：2008-11-19 14:10

IrpSp->Parameters.Create.Options & FILE_DELETE_ON_CLOSE

洗鉴宏宇兼济豢龙

回复喜欢

sqpcd 驱动牛犊注册日期2008-10-24 最后登录2010-05-12 粉丝0 关注0 积分24分威望171点贡献值1点好评度0点原创分0分专家分0分加关注写私信	板凳^# 发布于：2008-11-19 20:59 感谢，最近才开始学习，请问这些API函数可以在哪里查到？
	回复(0) 喜欢(0)

michaelgz 论坛版主注册日期2005-01-26 最后登录2012-10-22 粉丝1 关注1 积分150分威望1524点贡献值1点好评度213点原创分0分专家分2分加关注写私信	地板^# 发布于：2008-11-20 00:03 Delete to Recycle Bin is MJ_SET_INFORMATION/Rename Complete delete is MJ_CREATE/FILE_DELETE_ON_CLOSE or MJ_SET_INFORMATION/Disposition
	回复(0) 喜欢(0)

eleqi 驱动小牛注册日期2005-12-20 最后登录2014-01-03 粉丝4 关注2 积分172分威望1475点贡献值0点好评度115点原创分0分专家分0分加关注写私信	地下室^# 发布于：2008-11-25 01:23 michaelgz 正解这里不需要什么API,直接判断参数即可
	回复(0) 喜欢(0)

x-star 驱动小牛注册日期2007-04-26 最后登录2018-11-17 粉丝0 关注0 积分65分威望664点贡献值1点好评度39点原创分1分专家分1分加关注写私信	5楼^# 发布于：2008-11-28 16:25 引用第3楼michaelgz于2008-11-20 00:03发表的 : Delete to Recycle Bin is MJ_SET_INFORMATION/Rename Complete delete is MJ_CREATE/FILE_DELETE_ON_CLOSE or MJ_SET_INFORMATION/Disposition 一直用的MJ_SET_INFORMATION/Disposition 什么时候是MJ_CREATE/FILE_DELETE_ON_CLOSE
	回复(0) 喜欢(0)

unicoco 驱动牛犊注册日期2007-04-30 最后登录2016-01-09 粉丝0 关注0 积分10分威望77点贡献值0点好评度9点原创分0分专家分0分加关注写私信	6楼^# 发布于：2008-12-01 19:02 请教楼主楼主是成都哪个公司的啊？介绍下
	回复(0) 喜欢(0)

qianjunhua 驱动小牛注册日期2003-12-08 最后登录2013-02-27 粉丝11 关注0 积分712分威望1052点贡献值1点好评度57点原创分0分专家分0分加关注写私信	7楼^# 发布于：2008-12-01 21:50 引用第5楼x-star于2008-11-28 16:25发表的 : 一直用的MJ_SET_INFORMATION/Disposition 什么时候是MJ_CREATE/FILE_DELETE_ON_CLOSE 呵呵什么时候啊？你用processmonitor 看一写word保存一个文件的时候就会看到很多文件都是delete on close的方式打开的。
	回复(0) 喜欢(0)

发帖回复

« 返回列表

您需要登录后才可以回帖，登录或者注册