먼저 FSD 선배님들의 노력에 경의를 표합니다.

이젠 블루 스크린을 봐도 한숨도 안나오네요.ㅠ

 

하려고 하는 것은 AV system처럼 사용자가 열어보려고 하는 파일을 미리 스캔하고 필요하다면 변경하는 것입니다.

그래서 IRP_MJ_CREATE 를 스캔하고 있는데..

문제는..

동일한 IRP_MJ_CREATE 가 반복해서 발생한다는 겁니다.

 

그러니까 Explorer 창에서 파일을 클릭만 해도 IRP_MJ_CREATE 가 주~~악 발생합니다.

요청한 PID를 보면 대부분 explorer.exe입니다.

뭐 익스..그놈이 복잡하고 신경질적인 녀석이라는 것은 잘 압니다.

파일을 열 때 익스..그놈이 혼자 내부적으로 뭔가 확인할 일들도 많을거라는거 이해합니다.

(솔직히 신경쓰고 싶지도 않고요.)

 

하지만 정확하게 어떤 IRP가 파일을 실행시키는 패킷인지 확인할 방법이 막연해서 답답하네요.

익스..그놈 같은 시스템 콜에는 스캔을 하고싶지 않습니다.

이걸 확인할 방법이 있을까요?

 

*PID로 익스..그놈만 걸러내는 것은 패쓰..

=>파일 복사같은 경우에도 미리 스캔을 하고 싶어서요.. ㅠ_ㅠ