Tommy(凌飞)的专栏

以前对文件系统、缓存管理器、内存管理器的关系比较模糊，特别是具体在文件操作过程中的相互调用关系。在看《数据恢复技术》这本书时，介绍了些，以及另外的一些资料，总算是大致明白了它们之间的关系。摘录相关的文字如下; 1、显示文件I/O：应用程序通过Win32 I/O接口函数如CreateFile、ReadFile及WriteFile等来访问文件。函数CreateFile是通过Win32客户端DLL-K

在这篇文章中，我们将对缓存管理器的一个运行时例程做个基本的描述。此外，对于这些例程使用的一些方法以及示例代码，可以参考Microsoft IFS Kit。 缓存管理器概述 缓存管理器是一个软件部分，集成在Windows Nt内存管理器中，以集成文件系统（数据）和虚拟内存系统。一些操作系统完成它们自己的文件系统，所以它们有自己的数据cache. 然而，因为这些caches受物理内存限制，它们在大

                                   FsRtlCheckOplock简单描述  原文：http://www.osronline.com/article.cfm?article=223   FsRtlCheckOplock这个历程目前（2003 IFS kit）还是没有文档化。因而，对于如何使用以及能做什么还不太清楚。本文将会试着去描述如何使用这个API。

     FileMon中获取文件全路径的方法中最为关键的技术是通过自己下发IRP给下层驱动。下发请求的cmd为FileNameInformation或其他，具体请看代码。而在filespy中的获取的全路径的方法是通过ObQueryNameString()函数得到的。ObQueryNameString这个函数只能在打开IRP(IRP_MJ_CREATE)和清除(IRP_MJ_CLEANUP)或者关

FS寄存器指向当前活动线程的TEB结构（线程结构）偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014  ArbitraryUserPointer018  FS段寄存器在内存中的镜像地址(TEB)020  进程PID024  线程ID02C  指向线程局