Filemon中獲取檔案全路徑方法

2021-05-18 06:05:06 字數 478 閱讀 4534

filemon中獲取檔案全路徑的方法中最為關鍵的技術是通過自己下發irp給下層驅動。下發請求的cmd為filenameinformation或其他,具體請看**。而在filespy中的獲取的全路徑的方法是通過obquerynamestring()函式得到的。obquerynamestring這個函式只能在開啟irp(irp_mj_create)和清除(irp_mj_cleanup)或者關閉(irp_mj_close)irp的處理中使用,否則很容易鎖死,而用irp的方式卻沒有這個問題。通過檢視wrk相關**,發現obquerynamestring這個函式是首先檢查預設物件查詢名稱函式是否存在,如存在則直接呼叫之,否則是用一種比較複雜的方法得到,這一部分的**,貼在下面。我們注意到在fileobject物件中有乙個filename域,但是這個域是可以被其他過濾驅動修改的,也就是說通過這個域得到的資料不一定是真實的。

filemon獲取檔案全路徑方法:

obquerynamestring中獲取方法:

檔案過濾驅動 獲取全路徑名

第一部分 取全路徑 以下是獲取全路徑的所有函式 string操作參見字串操作的乙個庫unicode.lib record add by lwf 07 07 25 purpose get symbolic target unicode string pvoid spygetsymbolicunistr...

C 路徑中獲取檔案全路徑 目錄 副檔名 檔名稱

獲取當前執行程式的目錄 string filedir environment.currentdirectory console.writeline 當前程式目錄 filedir 乙個檔案目錄 string filepath c jiyf benxh benxhcms.xml console.writ...

根據WHND獲取程序的完全路徑

dword dwpid 儲存程序識別符號 getwindowthreadprocessid hfocusw,dwpid 接受乙個視窗控制代碼。dwpid儲存視窗的建立者的程序識別符號,getwindowthreadprocessid返回值是該建立者的執行緒識別符號 handle hbrowser o...