请教:右键打开图片I/O处理过程

s_zbchen1 2013-01-10 05:54:21
设置图片默认打开方式是Windows图片和传真查看器
双击打开系统执行大概过程是
CreateFile->ZwCreateFile->ReadFile->ZwReadFile

右键选择打开方式,一开始我以为是这样走
CreateFile->ZwCreateFile->CreateFileMaping->ZwCreateSection->ViewFileMaping->ZwViewSectionMaping

我用SSDT HOOK到了ZwCreateFile,记录文件HANDLE, 但是hook ZwCreateSection的时候没有监控到该HANDLE

请教大神们帮我开导一下,不胜感激啊!
...全文
131 7 打赏 收藏 转发到动态 举报
写回复
用AI写文章
7 条回复
切换为时间正序
请发表友善的回复…
发表回复
s_zbchen1 2013-01-15
  • 打赏
  • 举报
回复
QQ影像咋回事,双击打开和点击界面切换上一个下一个竟然也不一样,切换上一个下一个是怎么读到文件的,tencent的哥们麻烦指点一下
bigwangdi 2013-01-12
  • 打赏
  • 举报
回复
听说这里在散分,我是来顶贴的
s_zbchen1 2013-01-11
  • 打赏
  • 举报
回复
是我自己搞错了,原来双击打开是系统通过explorer.exe进程打开 右键是通过rundll32.exe打开,我在SSDT HOOK中跳过了rundll32.exe,所以在ZwReadFile中监视不了文件的读操作了。 总之有关文件操作的问题,欢迎大家继续讨论。开始散分。
「已注销」 2013-01-11
  • 打赏
  • 举报
回复
路过接分滴...
赵4老师 2013-01-11
  • 打赏
  • 举报
回复
试试用SoftSnoop软件?

64,282

社区成员

发帖
与我相关
我的任务
社区描述
C++ 语言相关问题讨论,技术干货分享,前沿动态等
c++ 技术论坛(原bbs)
社区管理员
  • C++ 语言社区
  • encoderlee
  • paschen
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
  1. 请不要发布与C++技术无关的贴子
  2. 请不要发布与技术无关的招聘、广告的帖子
  3. 请尽可能的描述清楚你的问题,如果涉及到代码请尽可能的格式化一下

试试用AI创作助手写篇文章吧