Windows 7中的哪些用戶模式功能可以監視/ 攔截文件訪問?掛鉤哪個用戶模式函數來監視/攔截文件訪問?
我試過ntdll.dll的NtOpenFile()
,NtCreateFile()
,但其中一些不是文件 - 它們也是管道和互斥體。 kernel32.dll的CreateFile()
也一樣。是否有一個函數僅用於訪問文件/目錄?如果有幫助,我試圖只hook explorer.exe以防止訪問firefox.exe。我也使用EasyHook,如果你們中的任何一個熟悉它的話。
我想我也讀過一些地方,使用NtOpenFile/NtCreateFile的參數,你可以區分文件訪問/管道訪問。但是,這仍然有點朦朧。有沒有一個很好的舒適的函數來鉤?
編輯:請記住我需要攔截文件訪問以防止訪問某些文件。 EasyHook是一個很好的解決方案,因爲它允許我在C#託管代碼中執行一些簡單的步驟來執行復雜的鉤子。
爲什麼你不能改變你想拒絕訪問的文件的權限? – 2010-07-24 23:46:32
不如優雅。我希望編碼鉤子帶來的挑戰和經驗。 – Rudi 2010-07-25 19:15:08
在這種情況下,編寫非託管代碼並自己進行掛接。使用圖書館進行掛鉤沒有任何挑戰或經驗。 – 2010-07-25 19:32:47