如何让sfilter只绑定特定的VOLUME

如何让sfilter只绑定特定的VOLUME，例如要sfilter只绑定系统启动后插入的U盘生成的VOLUME，大侠请指教

在SfFsControlMountVolume判断TargetDevice是否是需要attach的设备

类似问题：为什么我的sfilter只能截获软盘，或者移动以盘的操作，对硬盘的操作无法拦截到，硬盘是NTFS分区，是不是和分区有关系？sfilter是IFS的例子，我没有做任何改动，难道这个例子不能拦截NTFS中的操作吗？

类似问题：为什么我的sfilter只能截获软盘，或者移动以盘的操作，对硬盘的操作无法拦截到，硬盘是NTFS分区，是不是和分区有关系？sfilter是IFS的例子，我没有做任何改动，难道这个例子不能拦截NTFS中的操作吗？

2k的系统，动态加载的驱动吧

我是通过sfilter自带的安装命令来安装后重起机器进行调试的，应该是静态加载的吧！


 

类似问题：为什么我的sfilter只能截获软盘，或者移动以盘的操作，对硬盘的操作无法拦截到，硬盘是NTFS分区，是不是和分区有关系？sfilter是IFS的例子，我没有做任何改动，难道这个例子不能拦截NTFS中的操作吗？

paladinii 在吗 。可以把你的sfilter原文件包括安装文件传上来吗，或者传我邮箱jkgear@126.com

http://www.driverdevelop.com/forum/html_29885.html?1106284164

我用的是这里下载的sfilter例子，没有经过任何修改。

这个是可以绑定所有卷的，我试过。
下面这个附件是我加入sfread后的源文件，编译安装后重起，如果你机器上安装了 Dbgview。双击打开Dbgview就可以看到所有的读操作了。我要的是只绑定特定VOLUME的SFILTER，不过看来只能调试着来了。
请看这个帖子http://www.driverdevelop.com/forum/html_85662.html?1106285018

感谢jkgear,以后多交流阿，我也是摸索着做，这里的牛人好像不爱多说话。我的mail:paladin@redsec.org 方便留给我你的Email吗？

怪了，在我这里就是不行，我用你的例子，只能拦截A盘（软区）、G盘（U盘），而不能截获C盘和D盘的操作。DbgView没有显示。和我的程序状况一样。你是怎么加载的？我是静态加载的。你看看你的注册表中和我一样不？
Type: 0x00000002
Start:0x00000000
Group:FSFilter Activity Monitor
ImagePath:system32\\DRIVERS\\Sfilter.sys
Tag:0x00000001
Description:Sfilter Filter Driver
DisplayName:Sfilter
ErrorControl:0x00000001
DebugFlags:0x00000000


[编辑 -  1/31/05 by  paladinii]

 

怪了，在我这里就是不行，我用你的例子，只能拦截A盘（软区）、G盘（U盘），而不能截获C盘和D盘的操作。DbgView没有显示。和我的程序状况一样。你是怎么加载的？我是静态加载的。你看看你的注册表中和我一样不？
Type: 0x00000002
Start:0x00000000
Group:FSFilter Activity Monitor
ImagePath:system32\DRIVERS\Sfilter.sys
Tag:0x00000001
Description:Sfilter Filter Driver
DisplayName:Sfilter
ErrorControl:0x00000001
DebugFlags

:0x00000000


Group:filter
Tag:0x0000000d(13)

其他都跟你一样，我的系统2000，安装sfilter后需要重起，重起后就都加载上了，mail:jkgear@126.com

谢谢，jkgear我的问题解决了，把type改为0x00000001就可以了。你的问题解决了吗？另外你有获得文件全路径的好方法吗？

[编辑 -  1/31/05 by  paladinii]

请问，楼主的问题解决了吗？我也遇到了类似的问题。楼主能不能把解决的方法说一下。