danxuezx的专栏

NTSTATUSNtCreatePagingFile ( __in PUNICODE_STRING PageFileName, __in PLARGE_INTEGER MinimumSize, __in PLARGE_INTEGER MaximumSize, __in ULONG Priority )/*++Routine Description: This routine opens the specified file, attempt...

NTSTATUS GetProcessName(IN PEPROCESS pEproc, PWCHAR* outFullPath, PWCHAR* outProcName){ typedef NTSTATUS(*xxQUERY_INFO_PROCESS) ( __in HANDLE ProcessHandle, __in PROCESSINFOCLASS ProcessInformationClass, __out_bcount(ProcessIn.

FltGetFileNameInformation(Data, FLT_FILE_NAME_NORMALIZED | FLT_FILE_NAME_QUERY_DEFAULT, &NameInformation)1、如上面代码，在指定FLT_FILE_NAME_NORMALIZED参数时，获取到的file name情况如下：针对一个本地文件： NameInformation->Volume:\Device\HarddiskVolumeX ...

FsRtlIsNameInExpression的功能介绍参考MSDN：https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/ntifs/nf-ntifs-_fsrtl_advanced_fcb_header-fsrtlisnameinexpression一句话概括就是看一个unicode string是否满足指定的结构类型。比如想写一个功能，看一个Unicode string子串是否是以 abcd1234开头的，那这个代码可以