Ура. Избавился от проблем. Объяснить в чем дело - не могу... Сработала связка функций status = ObReferenceObjectByHandle(Handle,...
А можно ли каким-либо другим способом перехватывать, какие файлы открываются, а точнее закрываются, при этом надо узнать полный путь и права...
NTSTATUS NewNtClose( IN HANDLE Handle) {NTSTATUS D; NTSTATUS status; PFILE_OBJECT pFileObject; UNICODE_STRING devpath, dev2; if...
z0mailbox, возможно что я где-то ошибся, но: typedef struct _FILE_ALL_INFORMATION { FILE_BASIC_INFORMATION BasicInformation;...
ZwQueryInformationFile дает обрезанные пути (( Как заколустался уже с этими БСОДами...
Никто не знает, почему для файлов не работает ZwQueryObject То есть я таким образом опрашиваю все хакрываемые хендлы ObjectTypeInfo...
Вообщем то опять какие-то сбои... NTSTATUS NewNtClose( IN HANDLE Handle) {NTSTATUS D; NTSTATUS status; PFILE_OBJECT pFileObject; UNICODE_STRING...
z0mailbox просянил ситуацию, полагаю что вряд ли будет вызвано "наперегонки", тем более что у меня будут ловиться только файлы, открываемые на...
Great, Итого получиться что при первом вызове мьютекс будет установиться в состояние "занят", делаем операции, в них если вызывается ntclose то...
Partner,т.е. в тот момент когда обрабатывается bBusy = TRUE; ... // ZwQueryObject(handle, ObjectNameInformation ...) Другой поток может в...
Народ, тема все еще актуальна.. Только теперь мне интересно, как хватать трафик в драйвере.. (уже почти готов аналог файлового монитора, ведется...
Great, а что можно поделать с этим.. Хотя бы идеи.. Мои - только перед каждым вызовом снимать перехват на нормальный обработчик ntClose а после...
Итак, пришел к вывочу, что в той процедуре можно использовать только ограниченное кол-во функций.. Вынес весь обработчик в отдельную процедуру, в...
Что делаать то....
Или еще пример kd> !analyze -v ERROR: FindPlugIns 8007007b ******************************************************************************* *...
Все это удовольствие было при: RtlVolumeDeviceToDosName(pFileObject->DeviceObject , &devpath); RtlUnicodeStringToAnsiString( &ansiStr,...
kd> !analyze -v ERROR: FindPlugIns 8007007b ******************************************************************************* *...
Качается пакет символов..
А как это сделать?
Драйвер, перехватываю ntClose Перехват идет успешно. Пытаюсь извлечь имя закрываемого для записи файла: NTSTATUS NewNtClose( IN HANDLE Handle)...
Имена участников (разделяйте запятой).
