|
阅读:1546回复:3
求救!怎样识别拷贝操作?
各位大侠,小弟毕业设计要监控文件拷贝操作,包括本地硬盘内的拷贝和拷贝到U盘,怎样才能识别拷贝操作呢?是要过滤一系列的IRP吗?小弟才开始学驱动,勉强把ifs里的sfilter看了个大概,完全是赶鸭子上架,希望知道的帮小弟一把,千恩万谢啊~~
|
|
|
沙发#
发布于:2008-04-20 17:11
最简单的办法,hookapi 监控exploer的拷贝操作...
|
|
|
|
板凳#
发布于:2008-04-20 21:37
谢谢znsoft大侠,hookapi是不是只要hook copyfile就行了呢?
另外我还想问下,用文件过滤驱动能不能做呢?因为在拷贝文件的过程中,我可能需要去中断这个拷贝操作。我用filemon看了一下拷贝操作,一大串IRP_MJ_CREAT,IRP_MJ_QUERY_VOLUME_INFORMATION,IRP_MJ_SET_INFORMATION,IRP_MJ_WRITE之类的IRP和FASTIO,从这些IRP序列似乎无法判断出是拷贝操作还是其他什么操作。 我看前面的帖子有用文件过滤驱动实现的,但没说怎么实现。我真是什么都不懂,时间又紧迫,希望大家帮帮忙,谢谢谢谢谢谢~~ |
|
|
地板#
发布于:2008-04-21 14:07
内核是没有所谓的"copy"操作的,如果你只管copy的话,实际上也很难识别,比如说别人随便写一个应用程序,读一个已知文件,然后新建一个文件,写入这个已经文件的内容,这也应该算是"copy"了这个文件,看看你是不是可以换一个思路,不能单从copy这个角度来思考问题。
|
|
