监控文件变化

楼主^#

更多发布于：2009-02-28 16:53

请教各位高手：
用过滤驱动监控指定目录内文件变化，
是向filemon那样过滤IRP_MJ_CREATE、IRP_MJ_SET_INFORMATION、IRP_MJ_WRITE等
还是用IRP_MJ_DIRECTORY_CONTROL的子功能代码IRP_MN_NOTIFY_CHANGE_DIRECTORY进行目录监视。
哪个更好，有什么区别？
谢谢！！

喜欢0

sxmize 驱动牛犊注册日期2008-10-31 最后登录2012-05-04 粉丝0 关注0 积分28分威望214点贡献值0点好评度0点原创分0分专家分0分加关注写私信	沙发^# 发布于：2009-03-01 11:00 我的意思是：用FsRtlNotifyFullReportChange、FsRtlNotifyFullReportChange函数的方法和过滤IRP_MJ_CREATE、IRP_MJ_SET_INFORMATION、IRP_MJ_WRITE的方法哪种更好？
	回复(0) 喜欢(0)

znsoft

管理员

注册日期2001-03-23
最后登录2023-10-25
粉丝300
关注6
积分910分
威望14796点
贡献值7点
好评度2410点
原创分5分
专家分100分

加关注写私信

板凳^#

发布于：2009-03-01 21:29

前一种可能有延迟，后一种更直接。但是前一种简单。

http://www.zndev.com 免费源码交换网 ----------------------------- 软件创造价值，驱动提供力量! 淡泊以明志，宁静以致远。 ---------------------------------- 勤用搜索，多查资料，先搜再问。

回复喜欢

michaelgz

论坛版主

注册日期2005-01-26
最后登录2012-10-22
粉丝1
关注1
积分150分
威望1524点
贡献值1点
好评度213点
原创分0分
专家分2分

加关注写私信

地板^#

发布于：2009-03-03 01:07

I believe the first thing you need to do is get more details about requirements.

What do you really want to monitor? Do you want to know who CREATE/OPEN a file? Do you want to know who WRITE/READ a file? Do you want to know who DELETE a file? Do you want to keep track of file content change? ......

After figuring out all your requirements, you can easily decide which IRPs to intercept.

回复喜欢

sxmize 驱动牛犊注册日期2008-10-31 最后登录2012-05-04 粉丝0 关注0 积分28分威望214点贡献值0点好评度0点原创分0分专家分0分加关注写私信	地下室^# 发布于：2009-03-04 17:39 我主要是想监控一个目录内文件的创建、删除、修改和重命名，我看了很多以前的帖子，是通过过滤 IRP的方式进行的，但是NT文件系统内幕上讲可以用FsRtlNotifyFullReportChange、FsRtlNotifyFullReportChange来过滤，所以我主要是想知道两种方式的区别和特点是什么？
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册

监控文件变化

最新喜欢：