Filemon中获取文件全路径方法

最新推荐文章于 2018-10-10 16:46:56 发布
最新推荐文章于 2018-10-10 16:46:56 发布
阅读量2k 收藏 1
点赞数
分类专栏: 文件系统 文章标签: object file exception null string buffer
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whf727/article/details/5166676
版权

     FileMon中获取文件全路径的方法中最为关键的技术是通过自己下发IRP给下层驱动。下发请求的cmd为FileNameInformation或其他,具体请看代码。而在filespy中的获取的全路径的方法是通过ObQueryNameString()函数得到的。ObQueryNameString这个函数只能在打开IRP(IRP_MJ_CREATE)和清除(IRP_MJ_CLEANUP)或者关闭(IRP_MJ_CLOSE)IRP的处理中使用,否则很容易锁死,而用IRP的方式却没有这个问题。通过查看wrk相关代码,发现ObQueryNameString这个函数是首先检查默认对象查询名称函数是否存在,如存在则直接调用之,否则是用一种比较复杂的方法得到,这一部分的代码,贴在下面。我们注意到在FileObject对象中有一个FileName域,但是这个域是可以被其他过滤驱动修改的,也就是说通过这个域得到的数据不一定是真实的。

 

   FileMon获取文件全路径方法:

 

 

 

 

  ObQueryNameString中获取方法:

 

 

 

less@more
关注
专栏目录
FILEMON 的使用方法教程
05-12
IBM官方的FILEMON的资料,主要讲FILEMON 的使用方法,非常详细,适合初学者。
filemon 文件监视工具
12-15
2. **详细日志**:当发生文件事件时,Filemon会记录下完整的事件详情,包括进程名、操作类型、文件路径、时间戳等信息,这些信息可以导出为文本文件供后续分析。 3. **过滤与搜索**:用户可以根据需要设置过滤...
获取文件路径函数之GetModuleFileName()
Jackery's Special Column
12-12 1203
获取文件路径函数之GetModuleFileName() 在项目,经常会需要获取相对路径与绝对路径的问题,这里暂时先给出获取当前获取可执行程序exe文件函数,还会涉及到字符串拼接等问题;暂时没时间记下来; 在这里GetModuleFileName这个函数是关键,它既可以得到当前应用程序exe文件路径,还可以知道dll文件路径,这主要决于第一个参数,如果第一个参数为NULL,则表示获取的是当前应用程序exe文件路径,如果第一个参数是GetModuleHandle("dll文件名名称"),则获取的是d
filemon使用实例
weixin_33725807的博客
02-13 504
filemon使用实例 RegMon的大名想必对大多数玩家们来说是如雷贯耳,随便打开一台老鸟们的电脑,发现就像发现酷爱运动的人随身带一把瑞士×××一样简单。用RegMon 可以监视各种程序对注册表的种种操作,所以喜欢修改注册表的各位老鸟们,自然是随身得带上这样一把“瑞士×××”的了。   不过,今天的主角不是RegMon,而是RegMon的同门兄弟FileMo...
FILE_OBJECT
春暖花开
08-07 2704
typedef struct _FILE_OBJECT {      CSHORT  Type;      CSHORT  Size;      PDEVICE_OBJECT  DeviceObject;      PVPB  Vpb;      PVOID  FsContext;      PVOID  FsContext2;      PSECTION_OBJECT_POINTE
计算机病毒与防护:文件系统监测工具filemon.ppt
06-10
当一个进程试图访问文件时,FileMon会详细报告这个操作,包括发起操作的进程名、被操作的文件路径、操作类型以及结果。这种透明度使得用户可以识别出不寻常的活动,比如病毒试图隐藏自身、修改系统文件或者创建恶意...
Filemon文件实时监控工具
11-29
4. **事件详细信息**:每个记录的事件都包含丰富的元数据,如进程ID、线程ID、错误代码、文件路径等,这为分析提供了详尽的数据支持。 5. **非侵入性**:Filemon作为一个监控工具,它自身不会改变系统的运行状态,...
filemon regmon 系统文件监视 注册表监视
06-14
3. 设置过滤:根据需要,可以设置过滤规则来关注特定的进程、文件路径或注册表键。 4. 收集数据:当问题出现时,或者需要监控的事件发生时,记录Filemon和Regmon提供的详细日志。 5. 分析结果:停止监控后,查看...
FileMon.zip
02-26
**转储功能** 在这里可能指的是在文件被删除前,FileMon工具会捕获到这一操作,并将相关信息(如文件路径、时间戳、删除操作的发起者等)保存到一个日志文件或数据库,这在数据保护、审计或故障排查非常有用。...
著名的filemon,使用钩子截获控制windows下文件操作的不错源码
11-19
著名的filemon,使用钩子截获控制windows下文件操作的不错源码!!有助于我们详细了解hook 钩子的源码!钩子截获的过程源码!
FILEMON文件监控程序源代码.zip
02-28
FILEMON监控文件事件的程序源代码.zip
文件过滤系统驱动开发Filemon学习笔记
01-18 2268
下载filemon源代码WINDOWS文件过滤系统驱动开发,可用于硬盘还原,防病毒,文件防护,文件加密等诸多领域。而掌握核心层的理论及实践,对于成为一名优秀的开发人员不可或缺。WINDOWS文件过滤系统驱动开发的两个经典例子,Filemon与SFilter,初学者在经过一定的理论积累后,对此两个例子代码的研究分析,会是步入驱动开发殿堂的重要一步,相信一定的理论积累以及贯穿剖析理解此两个例程
Procmon监控软件使用教程
热门推荐
lxiao428的博客
10-10 2万+
软件的下载链接:https://download.csdn.net/download/lxiao428/10711509 Procmon是微软出品用于监视Windows系统里程序的运行情况,监视内容包括该程序对注册表的读写、对文件的读写、网络的连接、进程和线程的调用情况,procmon是一款超强的系统监视软件。 下载完成之后,直接启动procmon.exe,procmon会自动扫描分析系统当...
Filemon
imJaron的博客
09-22 1421
Filemon 是一款出色的文件系统监视软件,它可以监视应用程序进行的文件读写操作。它将所有与文件一切相关操作(如读、修改、出错信息等)部记录下来以供用户参考,并允许用户对记录的信息进行保存、过滤、查找等处理,这就为用户对系统的维护提供了极大的便利。用途监视文件系统的性能,并且报告代表逻辑文件、虚拟内存段、逻辑卷和物理卷的I/O活动 。 命令: filemon [ -d ] [ -i T
FileMon.c
victoryckl的专栏
07-13 2487
http://blog.csdn.net/xiongwjw/article/category/1081656 //====================================================================== // // Filemon.c // // Sysinternals - www.sysinternals.com // Copyr
文件对象,文件系统设备,卷设备之间的关系说明
ljmwork的专栏
06-04 1957
文件对象、文件系统设备、卷设备之间的关系简单说明 http://hi.baidu.com/jonathan2004/item/cb7fd9406301deac60d7b95d 本文档的CopyRight归jonathan所有,可自由转载,转载时请保持文档的完整性。 /*------------------------------------------------
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值