在Windows 7上可靠地监视/跟踪/记录用户文件访问。
|
我需要跟踪用户访问(创建,打开,读取)的所有文件,并记录这些操作以在单独的应用程序中进行进一步处理。我研究并搜索了实现此目标的可能方法(尽可能简单),并提出了以下解决方案:
钩住kernel32.dll并拦截所有
文件特定的功能,例如
CreateFileA,OpenFile等。我想
修改IAT并提供
包装函数。我还是会前进
原始功能的调用,
但报告哪些文件在哪里
访问何时访问我的应用程序。
这听起来很容易实现,但是我
怀疑它将完美地工作
Windows 7对我来说似乎是新的
安全限制防止
通过修改
导入地址表。也许有人
更了解:)
编写一个文件系统minifilter和
制作回调函数报告
关于文件访问。因为我还没有
在我不写之前写了一个微型过滤器
知道这是否可行
方法。我相信发展
微型过滤器需要付出更多的努力。
也许有人可以指出一些
资源,例如写作教程
简单的文件系统微型过滤器。
我知道Microsoft的Detour库,但是在此阶段我想避免使用它,因为该钩子通常很简单。在不使用Detours或EasyHook的情况下,是否有任何可靠的方法可以在Windows 7中挂钩文件功能?
关于微型过滤器:与处理加密的过滤器相比,我相信我要实现的目标非常简单。但是,我没有编写小型过滤器的经验,无法估计实现我的目标需要花费多少精力。我偶然发现的所有示例都涉及文件系统过滤器,而不是迷你过滤器。
感谢您的提示和建议:)
问候,
好奇心
没有找到相关结果
已邀请:
2 个回复
味芯憨
俯乡骚钵皆