|
阅读:2156回复:6
如何把盘符转换为设备名?(说不太清楚,请看正文)
比如在IRP_MJ_CREATE中获取了当前进程为 C:\\Windows\\Explorer
如何判断这个进程输入哪个卷?也就是判断这个进程是否是 \\Device\\HardDiskVolume1 |
|
|
|
沙发#
发布于:2007-01-30 09:23
sfiter的NlGetObjectName可以得到\\Device\\HardDiskVolume1
|
|
|
板凳#
发布于:2007-01-30 11:24
在Sfilter中:SfGetFileName可以得到文件名.打印一下调试信息可以看到了.
在楚狂人的那篇教程中也给出了类似的说明,可以看一下. |
|
|
地板#
发布于:2007-01-30 16:27
我的错, 我没说清楚.
我是说如何把 "C:\" 这样的一个路径转换为 "\Device\\HardDiskVolume1" 这种形式 |
|
|
|
地下室#
发布于:2007-01-30 16:32
因为获取的当前进程路径为 "D:\bak\xxx.exe"
我不能用"D:\"来做过滤路径撒, 因为盘符是可以改变的. 我想用卷名字来做过滤关键字, 所以我要把 盘符转换为卷名字 |
|
|
|
5楼#
发布于:2007-01-30 23:22
ZwOpenSymbolicLinkObject
ZwQuerySymbolicLinkObject |
|
|
6楼#
发布于:2007-02-02 22:19
ZwOpenSymbolicLinkObject
ZwQuerySymbolicLinkObject 两个函数偶不知道咋用, 能否麻烦来段代码 |
|
|