阅读:4828回复:16
内存映射文件这种文件读写文件不通过I/O,使用文件过滤驱动应该如何处理?
内存映射文件这种文件读写文件不通过I/O,
使用文件过滤驱动应该如何处理? |
|
沙发#
发布于:2009-05-10 00:06
不会吧,看论坛里好多人在讨论透明加密,如果使用文件过滤驱动,一定会有同样的问题的。
|
|
板凳#
发布于:2009-05-12 00:32
我前几天也碰到这个问题,一直也是怀疑
最后确定,肯定是通过 IO的 是我路径过滤时候没有处理好 建议把所有经过create,read,write的fileobject都打印出来,多看看,就明白了我没看明白楼上的话。你说如果以过IO,那应该在哪个IRP处理的。看样子还是要好好在分析跟踪一下。我使用FileMon和FileSpy没有监控到。 |
|
地板#
发布于:2009-05-13 22:21
现在内存映射文件读写是搞定了,但是新的问题又来了
1.IRP_MJ_READ在读写普通文件是无法正确解密。 2.在透明加密算法中,是否也要处理Fast I/O. |
|
地下室#
发布于:2009-05-22 00:28
其实不是真正的内存映射,而是Page I/O.
文件映射明天还需要测试,跟踪! |
|
5楼#
发布于:2009-05-28 12:55
写过滤驱动时开始别过滤。
将所有的文件读写过程记录下来,慢慢分析其中的参数。 |
|