首页
论坛
课程
招聘
[旧帖] [求助]win7 下关于fltgetfilenameinformation的使用 0.00元
2014-1-21 17:19 1223

[旧帖] [求助]win7 下关于fltgetfilenameinformation的使用 0.00元

2014-1-21 17:19
1223
我在xp,和win7下用了同样的一段代码在IRP_MJ_CREATE的post里面用
fltgetfilenameinformation去取文件路径等信息,
在xp和win7,64位系统下面取出来的结果是没有问题的,但是在win7,32位下面取出来的结果,Volume的信息比较特别。前面2个系统c盘都是以Volume1开始,但是这个在win7,32下面却不是Volume1开始的,我测试2台3位win7的环境,一个是Volume2,一个是4。
但是在IRP_MJ_SET_INFORMATION里面监控Rename事件的时候取出来的Volume名字就是正常的,请问这是为什么??

[注意] 欢迎加入看雪团队!base上海,招聘CTF安全工程师,将兴趣和工作融合在一起!看雪20年安全圈的口碑,助你快速成长!

收藏
点赞0
打赏
分享
最新回复 (3)
雪    币: 31
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
lovelyday 活跃值 2014-1-21 18:58
2
0
Volume应该不会错的,有些系统所在盘虽然叫C盘,但是不一定是整块硬盘的第一个分区
雪    币: 186
活跃值: 活跃值 (318)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
zzg令狐 活跃值 2014-1-23 11:31
3
0
这到有可能,但是xp系统和win7 x64测试都是正常的,就是win7 x86测试的结果是这样的。我在win7 x86下面用
IoVolumeDeviceToDosName转换出来的盘符看的结果是对的。
我是奇怪,为什么在IRP_MJ_CREATE和IRP_MJ_SET_INFORMATION,里面操作同一个文件的时候监控到的情况会不一样呢
雪    币: 186
活跃值: 活跃值 (318)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
zzg令狐 活跃值 2014-1-28 15:19
4
0
没人遇到过这个问题嘛?
游客
登录 | 注册 方可回帖
返回