Каталог поиска ntQueryDirectoryFile

Здраствуйте,
Как узнать из-под перехватчика ntQueryDirectoryFile, в каком каталоге проводился "поиск"?
Мне нужно дополнить имена файлов, которые возвращает эта функция, полными путями к ним.

 

NtQueryInformationFile с классом информации FileNamesInformation.

 

n0name
Не совсем понял, не мог бы на коде показать?

 

Ты имеешь ввиду вызвать оригинальную ф-цию с теми же параметрами что переданы в перехваченную, но с другим классом?
Т.е. в конце концов оригинал будет дергаться дважды?

 

Progr
Угу, а в этом проблема?

 

Да, только что попробывал. Его поле FileName содержит только имя. Пути нет...

 

Что-то мне подсказывает что каталог можно получить если привести хендл файла (первый параметр ф-ции) к имени. Но как....

 

ObReferenceObjectByHandle(..., *IoFileObjectType, ...)
Дальше ObQueryNameString, либо из полей структуры - вообще все что нужно

 

gilg
Спасибо

 

Ага, попробывал, работает. Но это не совсем то что нужно, т.к. возвращает путь в формате:

Код (Text):

1. МУСОР\Device\HarddiskVolume3\Drivers\MyDriver

а мне нужно:

c:\somedir1\somefile.ext

Т.е. простой и всем понятный формат...

 

Нет никаких идей?

 

Возможно ли конвертировать путь к файлу/каталогу вида:
\Device\HarddiskVolume3\Drivers\MyDriver
к
X:\Drivers\MyDriver

...или наоборот?

 

Попробуй RtlVolumeDeviceToDosName
Такие темы уже были, может поможет:
http://www.wasm.ru/forum/viewtopic.php?id=7004

 

А ДОС не говорит о том что имена будут короткие? Или там все нормально?

 

Неа. Будет replace <device name>\<path> ==> <DOS disk name>\<path>

 

Прикольно, а нет ли примера (желательно С), а то я уже один БСОД получил

 

Примера нет. А ты ей случайно не строку в первом параметре передаешь?

 

Нет, хендл файла(взят из параметров ntQueryDirectoryFile)

 

http://www.wasm.ru/forum/viewtopic.php?id=12449, там так же есть ссылка на статью Four-F с примером.

 

Да, но там на Асме, а я с ним не очень...