首页>驱动开发>文件系统(过滤)驱动程序开发>识别文件打开是执行还是别的操作
回复
« 返回列表
trent
trent
驱动老牛
驱动老牛
  • 注册日期2002-03-01
  • 最后登录2014-09-18
  • 粉丝0
  • 关注0
  • 积分61分
  • 威望185点
  • 贡献值0点
  • 好评度2点
  • 原创分0分
  • 专家分0分
写私信
阅读:1475回复:4

识别文件打开是执行还是别的操作

楼主#
更多 发布于:2005-05-31 10:30
在FILEMON 的 IRP_MJ_CREATE调度处整样判断可执行文件打开操作是否是被执行还是别的操作呢?
是通过相关的FileObject里的标志位还是别的东西!
我找到FILE_EXECUTE这个标志但不知对应的标识放在哪的?
有知道的请多多指点!
喜欢1

最新喜欢:

tmx21tmx21
我不仅要金子,我还要点石成金的手指!
回复
trent
trent
驱动老牛
驱动老牛
  • 注册日期2002-03-01
  • 最后登录2014-09-18
  • 粉丝0
  • 关注0
  • 积分61分
  • 威望185点
  • 贡献值0点
  • 好评度2点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2005-05-31 17:14
整没人回答呢!
是分不够!
还是太低级了
哟!
通过别的方法也可以!但我想在文件驱动里也能实现的!
我不仅要金子,我还要点石成金的手指!
回复(0) 喜欢(0)
zhaock
zhaock
驱动太牛
驱动太牛
  • 注册日期2002-01-26
  • 最后登录2018-06-02
  • 粉丝3
  • 关注2
  • 积分73328分
  • 威望362317点
  • 贡献值1点
  • 好评度226点
  • 原创分0分
  • 专家分0分
写私信
  • 社区居民
板凳#
发布于:2005-05-31 19:17
看currentIrpStack->Parameters.Create.SecurityContext->DesiredAccess,对应于ZwCreateFile中的DesireAccess,
回复(0) 喜欢(0)
trent
trent
驱动老牛
驱动老牛
  • 注册日期2002-03-01
  • 最后登录2014-09-18
  • 粉丝0
  • 关注0
  • 积分61分
  • 威望185点
  • 贡献值0点
  • 好评度2点
  • 原创分0分
  • 专家分0分
写私信
地板#
发布于:2005-06-01 15:10
谢谢zhaock 的回复,我去试一试

我还有一个老掉牙的问题:
我整样得到远程访问本地硬盘文件的远端的IP地址呢?
可以根据令牌判断是来自远方的访问了!
我不仅要金子,我还要点石成金的手指!
回复(0) 喜欢(0)
paladinii
paladinii
驱动中牛
驱动中牛
  • 注册日期2003-10-28
  • 最后登录2012-03-09
  • 粉丝0
  • 关注0
  • 积分282分
  • 威望74点
  • 贡献值0点
  • 好评度23点
  • 原创分0分
  • 专家分0分
写私信
地下室#
发布于:2005-06-02 19:16
通过Token就可以得到SID,接着就可以得到用户名
Ideas for life!
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部