hook ntCreateFile如何取创建的文件名
.版本 2.子程序 myNtCreateFile, 整数型
.参数 a, , , OUT PHANDLE FileHandle,
.参数 b, , , IN ACCESS_MASK DesiredAccess,
.参数 c, , , IN POBJECT_ATTRIBUTES ObjectAttributes
.参数 d, , , OUT PIO_STATUS_BLOCK IoStatusBlock
.参数 e, , , IN PLARGE_INTEGER AllocationSize OPTIONAL
.参数 f, , , IN ULONG FileAttributes
.参数 g, , , IN ULONG ShareAccess
.参数 h, , , IN ULONG CreateDisposition
.参数 i, , , IN ULONG CreateOptions
.参数 j, , , IN PVOID EaBuffer OPTIONAL
.参数 k, , , IN ULONG EaLength
ObjectAttributes结构体如何取出文件名啊 typedef struct _OBJECT_ATTRIBUTES {
ULONG Length;
HANDLE RootDirectory;
PUNICODE_STRING ObjectName;
ULONG Attributes;
PVOID SecurityDescriptor;
PVOID SecurityQualityOfService;
}OBJECT_ATTRIBUTES, *POBJECT_ATTRIBUTES;
知道结构就可以了,具体介绍,参考这个网址
https://msdn.microsoft.com/zh-cn/library/ff557749(VS.85).aspx
页:
[1]