请教：Filemon可以监视来自网络和本地的文件操作，但如何判断某个操作是来自网络的还是来自本地的呢!

Filemon可以监视来自网络和本地的文件操作，但如何判断某个操作是来自网络的还是来自本地的呢!

[编辑 -  6/30/04 by  fzx_qd]

大家过来瞧瞧啊!

在www.osronline.com上面的IFS FAQ里边提到了方法，具体来说就是检查Process Token。

我建议你以后遇到问题最好先上osronline查找，这样也许你的问题可以得到更快地解决。

感谢slwqw的指引，在osronline上找到以下代码：
BOOLEAN bServerCall = FALSE;
HANDLE TokenHandle = NULL;
ULONG ResultLength;
TOKEN_TYPE TType;
NTSTATUS Status;

Status =  ZwOpenThreadToken(NtCurrentThread(), STANDARD_RIGHTS_READ, FALSE, &TokenHandle);

if (NT_SUCCESS(Status))
{
Status = ZwQueryInformationToken(TokenHandle, TokenType, &TType,
sizeof(TOKEN_TYPE), &ResultLength);
if (NT_SUCCESS(Status))
{
if (TType == TokenImpersonation)
{
bServerCall = TRUE;
}
}
ZwClose(TokenHandle);
}

不过用这段代码时还是有点问题
1、这段代码是不是必须在IRP_MJ_CREATE使用
2、ZwOpenThreadToken()函数的返回值Status，总是不成功，不知为何。

哪位能指点指点！




[编辑 -  7/5/04 by  fzx_qd]

楼上的提到可以检查Process Token。这里需要说明一下，检查Process Token只有在局域网中客户端应用程序向 NTLMSSP 提供用户名、域名和密码，服务器和客户端应用程序交换令牌以完成身份验证这个时候有用。也就是说，只有在其他机器访问共享文件夹时要Windows NT LAN Manager 安全性支持提供者 (NTLMSSP.dll) 进行用户身份验证。简单地说就是你可以检测到网络上有人来访问你的文件，但是具体到某个文件是被本地访问还是被网络访问这种方法无法检测出来！
这只是我的理解，谁有好的方法请慷慨解囊赐教！！！

[编辑 -  7/15/04 by  ccwss000]

过滤网络对本机的文件操作正是我需要的，但是我暂时不会，高度关注ing …… : :D :D :D

是啊
如何知道网络上有人访问文件了