windows内核驱动开发 怎么监视文件

鲸羽 2019-04-23 09:08:49
要求监视所有文件,当在系统中打开一个新的文件时,判断该文件是不是word文档,如果是,就打印出文档的路径

我一开始想要监控进程,但写出来发现虽然可以监视word这个应用程序的打开,但好像不能得到对应文档的信息。所以想要换成对文件进行监视,不知道应该怎么操作。有没有大神说下思路呀。
...全文
51 回复 打赏 收藏 转发到动态 举报
写回复
用AI写文章
回复
切换为时间正序
请发表友善的回复…
发表回复
Windows驱动开发系列之三:WDF驱动开发入门
我将带领大家学习WDM驱动开发,包括重要的理论与实践。我们逐步深入,在系列一和二的基础上慢慢推进,开始学习WDF驱动模型,包括面向对象和事件机制、重要的WDF对象,具体章节包括:1)WDF编程框架:面向对象和事件机制2)WDF重要对象:驱动对象、设备对象、IO队列、IO请求、等3)事件回调函数:从派遣函数到事件回调函数的原理流程解析4)WDF过滤驱动:掌握WDF对IRP的处理,以及过滤驱动的应用5)WDF驱动安装:掌握驱动安装原理和INF文件的重要概念 Windows内核开发寄语:1、Windows内核非常复杂,相关图书和课程都很少,让很多初学者望而生畏;没关系,我带领大家别有兴致地来领略Windows内核的神秘,解开面纱,层层深入。2、本书以Windows10x64位基准,所有程序都编译、运行在Vmware的Win10x64位机器上。vs2019+wdk3、内核学习并不可怕,授人以鱼不如授人以渔,艺多不压身,学习能提升人的综合能力,尤其是核心技术。
windows内核驱动开发(WDK环境搭建)
windows内核驱动开发环境搭建
WINDOWS内核驱动开发(API简介)
大部分内核api都是有前缀的,主要的函数以 Io、Ex、Rtl、Ke、Zw、Nt、Ps 开头与NDIS网络驱动开发的相关函数几乎都是以 Ndis 开头与WDF驱动相关的函数都是以 Wdf 开头。
8.1 Windows驱动开发内核文件读写系列函数
在应用层下的文件操作只需要调用微软应用层下的`API`函数及`C库`标准函数即可,而如果在内核中读写文件则应用层的API显然是无法被使用的,内核层需要使用内核专有API,某些应用层下的API只需要增加Zw开头即可在内核中使用,例如本章要讲解的文件与目录操作相关函数,多数ARK反内核工具都具有对文件的管理功能,实现对文件或目录的基本操作功能也是非常有必要的。
Windows内核开发初步
环境配置并不复杂,只需要按照微软的要求装好VS2019和WDK,就可以在创建新项目中找到Driver。如果用的是Win11,可参考此文:驱动开发Windows11+VS2019环境配置 打开VS->创建新项目->Empty WDM Driver->创建,并删除初始项目Driver Files里面的.inf文件。 接下来新建一个wd.cpp文件,代码为 #include<ntddk.h> void SampleUnload(_In_ PDRIVER_OBJECT DriverO
其它技术问题

3,881

社区成员

9,054

社区内容

发帖
与我相关
我的任务
社区描述
C/C++ 其它技术问题
社区管理员
  • 其它技术问题社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章