|
阅读:2372回复:15
监控文件的拷贝
最近我看到一个软件,它能监控文件的拷贝,列出文件名,文件的源地址和目标地址。最初我从资源管理器里面进行拷贝,被监控了,我以为是hook explore来实现的;于是我在命令行方式方式拷贝,竟然还被监控了,不知道怎么实现的,唉。
各位大侠们知道吗?知道请告诉我一声,谢谢了! |
|
|
沙发#
发布于:2007-04-07 10:39
就是API Hook,和驱动无关,上面说的早就实现了
|
|
|
|
板凳#
发布于:2007-04-07 10:45
不用hook api,直接hook com 接口, 命令行的是用管道实现的吧
|
|
|
|
地板#
发布于:2007-04-07 10:53
大侠能告诉我hook 哪个API么?你说早就实现了,这个网上有源代码吗?我想看看,然后试试和我看到的软件有差异不?
谢谢了! 引用第1楼looksail于2007-04-07 10:39发表的“”: |
|
|
地下室#
发布于:2007-04-07 10:56
znsoft大侠回我的贴,太感动了,以前看了很多你的源代码,获益匪浅呀,太感谢了!!!
大侠说hook com?命令行的hook 管道? 大家能不能稍微再提示一下? hook com是什么?具体那个com? 谢谢了! 引用第2楼znsoft于2007-04-07 10:45发表的“”: |
|
|
5楼#
发布于:2007-04-07 11:02
引用第2楼znsoft于2007-04-07 10:45发表的“”: hook com 接口可以封住explorer,但是封不住应用程序直接调用API的行为,例如自己写个程序去调用CopyFile,CopyFileEx之类的 |
|
|
|
6楼#
发布于:2007-04-07 11:10
大侠能告诉我hook 哪个API吗? hook com是hook哪个com?
谢谢先! 引用第5楼looksail于2007-04-07 11:02发表的“”: |
|
|
7楼#
发布于:2007-04-07 12:35
文件拷贝是狭义上的,程序的读写,你根本不知道是不是拷贝
|
|
|
|
8楼#
发布于:2007-04-27 09:24
大侠能告诉我hook 哪个API吗? hook com是hook哪个com?
我现在就只要知道explorer上对文件copy动作的开始和结束,那我应该hook什么COM呢? |
|
|
|
9楼#
发布于:2007-05-01 22:08
引用第0楼zealsoft_zhu于2007-04-07 10:22发表的“监控文件的拷贝”: try to copy files by read()/write()..., |
|
|
10楼#
发布于:2007-05-09 14:56
用ReadDirectoryChangesW可以监控目录里面文件的修改, 具体可以看看codeproject上面的文章。这个方法相对驱动要容易得多。
|
|
|
11楼#
发布于:2007-07-18 09:09
引用第0楼zealsoft_zhu于2007-04-07 10:22发表的 监控文件的拷贝 : 搂主还在线吗?请问你用的是哪个软件阿!可以告诉一声吗?谢谢 |
|
|
12楼#
发布于:2007-07-18 12:10
监视read 和write ,
思路1 read出来的内存和write 的内存 指针相同. 对两个handle 进行判定 思路2 read出来的内存和write的内存 数据内容进行hash比对. |
|
|
|
13楼#
发布于:2007-07-18 17:32
引用第12楼xiabl于2007-07-18 12:10发表的 : 可行性不高,拷贝的时候不是所有的文件类型都有write操作 |
|
|
14楼#
发布于:2007-08-05 07:24
我监控加密文件的拷贝就是从驱动中做的
|
|
|
15楼#
发布于:2007-08-05 09:05
引用第10楼likema于2007-05-09 14:56发表的 : 前沿的产品中也用了此方法进行进程跟踪,导致系统反映变慢 |
|
|