求助！关于filemon,sfilter,ifs,文件操作监控

zgyzsq

求助！关于filemon,sfilter,ifs,文件操作监控 [复制链接]

大家好！
本人现在正在搞毕业设计。有如下问题，求各位高手不吝赐教，万分感激！完成设计后定在DD上发贴总结经验供大家讨论。
1）filemon，sfilter不能在VC下编译通过的问题。是因为编译器不行，还是设置问题？
2）本人想用ifskit，可有人说DS容易一点，求高手指点。
3）若想对新建文件，删除文件进行操作要截那些IRP进行处理，求具体方法。
万分感激！

汤锋

1)  应该是设置问题

3)  挂接SSDT中的ZwCreateFile ZwDeleteFile就可以了,但2K系统的DDK中并没有ZwDeleteFile函
     数的声明,所以需要自己添加.还有就是一般的文件删除(DeleteFileA/W)并不会进入SSDT,只
     有当NTDLL中的NT/ZW DeleteFile被调用时才会进入这里,以前也写过,就因为这个被郁闷了
     很久.

langxiajian

3)  创建文件：IRP_MJ_CREATE, Disposition为FILE_CREATE、FILE_OPEN_IF或FILE_OVERWRITE_IF，其中Disposition = IRP Stack成员Parameters.Create.Options的最高8bit
    删除文件：IRP_MJ_SET_INFORMATION，IRP Stack成员Parameters.SetFile.FileInformationClass设为FileDispositionInformation

详见IFS Documents

leungpokit

（１） VC 6.0 是可以与ＤＤＫ集成的，应该是你设置的问题。
（２） 这个你自己多看DDK的资料，多调试，多问问。做毕业设计应该没有问题。
（3） 主要对IRP_MJ_CREATE ，IRP_MJ_SET_INFORMATION ，不过删除操作需要注意的是重命名操作里面也需要处理。

shaolong

1）filemon sfilter应该用ddk编译，如果你想依赖vc6的编译器，需要重新设置
2）DS可以提供一个编译环境，ifskit是个库集，实际上ifs与ddk没什么区别，现在有free的ntifs头文件提供，可以上网搜到，http://www.acc.umu.se/~bosse/ntifs.h；
3）在filemon里有详细的代码。