关于u盘监控（浪费大家2分钟，给点思路，在线等）

zyalxl

关于u盘监控（浪费大家2分钟，给点思路，在线等） [复制链接]

公司最近要做一个u盘监控的软件，听别人说可以写一个驱动程序，说可以拦截IRP包，通过那个来监控u盘读写操作的，以前俺是写c++的  驱动没写过，刚才看了一些资料，问一下，IRP包拦截后，能得到具体对u盘里那个文件读写操作了吗？我在IRP_MJ_READ下用dbgview看一了一下systembuffer对应地址里的东西，好像只有要读写文件的内容，我现在想知道，读写文件的路径及文件名，该怎么做。

麻烦各位XDJM，或是有什么好的建议和方法，教我一下，谢谢了