Filemon的hashtable 看了一下午啊!

最新推荐文章于 2024-07-17 11:31:25 发布
最新推荐文章于 2024-07-17 11:31:25 发布
阅读量701 收藏
点赞数
文章标签: 存储 null table
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq125409446/article/details/4161980
版权

具体代码建Filemon  这里我只贴出一部分

 // Allocate a hash entry
  //
  newEntry = ExAllocatePool( NonPagedPool, 
  sizeof(HASH_ENTRY ) + strlen( fullPathName ) + 1);

  //
  // If no memory for a new entry, oh well.
  //
  if( newEntry ) {

  //
  // Fill in the new entry 
  //
  newEntry->FileObject = fileObject;
  strcpy( newEntry->FullPathName, fullPathName );

  //
  // Put it in the hash table
  //
  KeEnterCriticalRegion();
  ExAcquireResourceExclusiveLite( &HashResource, TRUE );

  newEntry->Next = HashTable[ HASHOBJECT(fileObject) ];
  HashTable[ HASHOBJECT(fileObject) ] = newEntry; 

  ExReleaseResourceLite( &HashResource );
  KeLeaveCriticalRegion();
这是往哈希表存储数据的代码

 

在查找时是
 hashEntry = HashTable[ HASHOBJECT( fileObject ) ];
  prevEntry = NULL;
  while( hashEntry && hashEntry->FileObject != fileObject ) {
  prevEntry = hashEntry;
  hashEntry = hashEntry->Next;
  }
也就是说存的时候与我们遍历链表不同之处在于 这个起点不是链表的头部
而是从某一位置开始遍历
所以要保证能够找到 存储时也是用某种方法存储的

  newEntry = ExAllocatePool( NonPagedPool, 
  sizeof(HASH_ENTRY ) + strlen( fullPathName ) + 1);先分配内存
  if( newEntry ) {

  //
  // Fill in the new entry 
  //
  newEntry->FileObject = fileObject;
  strcpy( newEntry->FullPathName, fullPathName );

这就向新内存中存放fileObject和fullPathName了

  KeEnterCriticalRegion();
  ExAcquireResourceExclusiveLite( &HashResource, TRUE );

  newEntry->Next = HashTable[ HASHOBJECT(fileObject) ];
  HashTable[ HASHOBJECT(fileObject) ] = newEntry; 

  ExReleaseResourceLite( &HashResource );
  KeLeaveCriticalRegion();

最后放入链表
那两个没见过的函数先不要管
看 newEntry->Next = HashTable[ HASHOBJECT(fileObject) ];
  HashTable[ HASHOBJECT(fileObject) ] = newEntry;

让新分配的newEntry指针指向当前的某一地址
然后这一地址=newEntry
也就是Next指向的就是这个自身了
所以这就成为了一个只含有一个元素的链表


下面考虑这个问题:对于HashTable[ HASHOBJECT(fileObject) ];我们有可能遇到:HASHOBJECT(fileObject1)=HASHOBJECT(fileObject2)的情况  

那么: 替换了?先看下面的问题

PHASH_ENTRY HashTable[NUMHASH]这是256个链表啊(NUMHASH=0x100)

  for( i = 0; i < NUMHASH; i++ ) {
  hashEntry = HashTable[i];
  while( hashEntry ) {
  nextEntry = hashEntry->Next;
  ExFreePool( hashEntry );
  hashEntry = nextEntry;
  }
  HashTable[i] = NULL;
  }清空的时候要两层循环 分别用于清空链表和数组



所以肯定没有替换!
所以唯一的解释:HASHOBJECT(fileObject1)=HASHOBJECT(fileObject2)的情况 出现时是链表中增加一个成员
所以我的结论是:这是一个拥有256个成员的数组 该数组中每个元素是一个链表

newEntry->Next = HashTable[ HASHOBJECT(fileObject) ];
  HashTable[ HASHOBJECT(fileObject) ] = newEntry;其实就是将Next=HashTable[ HASHOBJECT(fileObject) ]这个链表的开头  于是这个newEntry就成为了链表头  再把链表头改名为HashTable[ HASHOBJECT(fileObject) ]

 所以我所说的覆盖时错误的 !

这个主要思想 就是分类存储下fileobject和fullname  这样查询的时候就更快捷

 #define HASHOBJECT(_fileobject) (((ULONG)_fileobject)>>5)%NUMHASH其实理解并不难

取指针中的某几位 然后这个作为区分指针的标志   就好像球的颜色很多 号码不同  我把相同颜色的放一起  然后我找的时候先找对应的颜色 再去某种颜色里去找号码

 

学驱动真吃力!经常bsod 我都无能为力   痛苦    想找个指导老师  学校里却没老师做这个  郁闷!!!

qq125409446
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
FileMon
04-10
很好用的调试文件 动态调用 加载时文件不能找到的判断工具 会用的 你懂的
FileMon.zip
02-26
标题中的"FileMon.zip"可能是指一个包含名为"FileMon"的软件或工具的压缩文件,这个工具专门用于监视和记录文件系统活动,尤其是与文件删除相关的操作。在Windows操作系统中,Minifilter是文件系统过滤驱动程序的一...
学习filemon中的哈希表
爱杀之爪的矩阵
04-21 456
学习下哈希表,这个哈希表的例子是在filemon中提取出来的 这里是哈希表的一些简单介绍http://www.bccn.net/Article/kfyy/sjjg/200411/260.html哈希表结构:// Structure for the fileobject/name hash table//文件对象和名字散列表typedef struct _nameentr
Filemon
跃然实验室
01-20 697
Filemon
filemon网页链接
03-29 382
在做文件控制项目时,查阅各种资料觉得很有用处的就做了保存: 1、http://blog.sina.com.cn/s/blog_7785041f0101jekb.html 2、http://www.52rd.com/Blog/Detail_RD.Blog_xjl20008_7771.html 3、http://www.greensoftcode.net/techntxt/20142815847
Filemon(Filemon文件系统监视)V7.04官方版
weixin_30647065的博客
11-14 648
软件名称:Filemon(Filemon文件系统监视)V7.04官方版 软件语言: 简体中文 授权方式: 免费软件 运行环境: Win 32位/64位 软件大小: 265KB 图片预览: 软件简介: Filemon是一款出色的文件系统监视软件,它可以监视应用程序进行的文件读写操作。Filemon将所有与文件一切相关操作(如读取、修改、出错信息等)全部记录下来以供用户参考,并允许用户对记录的信息进...
WIN7 下的 filemon 版本
weixin_30572613的博客
05-20 249
http://blog.sina.com.cn/s/blog_594398e80100tx1q.html WIN7下的filemon版本 (2011-09-26 22:26:12) 标签: filemon win7 杂谈 Filemon 是一款出色的文件系统监视软件,它可以监视应用程序进行的文件读写操作。它将所...
FileMon.c
victoryckl的专栏
07-13 2469
http://blog.csdn.net/xiongwjw/article/category/1081656 //====================================================================== // // Filemon.c // // Sysinternals - www.sysinternals.com // Copyr
编译filemon遇到的问题
weixin_30348519的博客
05-06 94
http://files.cnblogs.com/ijunxiong/FileMon1.rar 环境vc6.0 上面的是原来的代码,编译出现错误: //Sub-classListViewWinMain = (WNDPROC) SetWindowLongPtr(hWndList, GWLP_WNDPROC,(LONG_PTR) ListViewSubclass); 根据http...
文件过滤系统驱动开发Filemon学习笔记
myworldbig的专栏
07-06 2299
文件过滤系统驱动开发 Filemon 学习笔记                                WINDOWS 文件过滤系统驱动开发,可用于硬盘还原,防病毒,文件安全防护,文件加密等诸多领域。而掌握核心层的理论及实践,对于成为一名优秀的开发人员不
逆向分析学习入门教程(非常详细)零基础入门到精通,看这一篇就够了!
weixin_57514792的博客
07-17 1329
逆向分析学习入门教程(非常详细)零基础入门到精通,看这一篇就够了!
件系统监视器filemon源代码.zip
06-19
文件系统监视器FileMon是一款非常实用的工具,用于实时监控文件系统的活动。它由Mark Russinovich开发,是Sysinternals Suite的一部分,现在归微软所有。FileMon可以帮助用户跟踪和理解应用程序如何与操作系统进行...
filemon-开源
05-01
标题中的"filemon-开源"指的是一个名为Filemon的开源工具,它是一个用Perl编程语言编写的实用程序,专为监控文件或目录的改动而设计。在IT领域,这样的工具对于开发者、系统管理员以及进行调试工作的人来说尤其重要...
filemon程序源码
12-22
Filemon是一款强大的系统监控工具,尤其对于Windows操作系统用户而言,它是了解系统文件访问行为的得力助手。由Mark Russinovich开发,最初是Sysinternals Suite的一部分,现在已被微软收购并整合到其 Sysinternals ...
Source Insight 4.0.zip
08-14
Source Insight 4.0.zip
基础会计教学课件第四章账户与复式记账.pptx
最新发布
08-14
基础会计教学课件第四章账户与复式记账.pptx
L型热电偶和U型热电偶电压温度双向转换器
08-14
L型热电偶和U型热电偶电压温度双向转换器
apache-tomcat-9.0.93安装包(含windows和linux版本).zip
08-14
apache-tomcat-9.0.93安装包(含windows和linux版本).zip包含如下内容: apache-tomcat-9.0.93-windows-x64.zip; apache-tomcat-9.0.93-windows-x86.zip; apache-tomcat-9.0.93.exe; apache-tomcat-9.0.93.tar.gz; apache-tomcat-9.0.93.zip;
网络协议分析与安全工具实战:Ethereal、Sniffer与系统监控
"该资源主要讨论了安全工具的使用,特别是网络协议分析工具Ethereal、数据包嗅探工具如Sniffer(包括Windump)以及系统监控和诊断工具,如netcat、Autoruns、HijackThis、RegmonFilemon等。这些工具在网络安全、...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值