|
阅读:2624回复:11
filemon监控远程主机对本地文件的访问
用filemon可以实现对本地文件的监控,但是如何实现监控远程主机对本地文件的访问???比如我本地文件d:\\a.txt被删除我想道是本地用户删的还是远程用户删的。
[编辑 - 8/21/02 by devil_jie] [编辑 - 8/21/02 by devil_jie] |
|
最新喜欢: Engine...
|
|
沙发#
发布于:2002-08-22 23:06
关于这个问题,可以使用下面的方法.
当检测到本地文件改动后,立即调用函数NetSessionEnum()函数,以此来检测是是否有连接到本地的会话用户. |
|
|
板凳#
发布于:2002-08-23 09:47
我觉的这种方法不可行,比如是本地用户删除文件,但是此时已经建立了几个连接,按照楼上那位兄弟的方法又如何判断了??
对文件操作在filemon中可知道当前活动线程,而www.sysinternals.com中的tokenmon知道当前活动线程的登录ID(logonid)而登录ID是唯一的。根据登录ID可知当前线程是由谁创建的(本地用户、远程用户)如果是还可知相应的主机名或IP地址,但我还不知道如何根据登录ID得到相应的主机名或IP地址。希望各位高手能给我解答,我将非常感谢!!! |
|
|
地板#
发布于:2002-08-23 12:01
拦截I/O IRP,得到用户进程的ID,得到安全Token,得到进程拥有者ID,可以解析出相关的信息。
|
|
|
地下室#
发布于:2002-08-23 13:26
得到进程拥有者ID,可以解析出相关的信息,这个信息中是否包含主机信息如主机名或IP地址???
|
|
|
5楼#
发布于:2002-10-04 11:03
devil_jie:
能说说filemon如何实现对本地文件的监控 [编辑 - 10/4/02 by jjw57] |
|
|
6楼#
发布于:2002-10-16 10:28
用filemon可以实现对本地文件的监控,但是如何实现监控远程主机对本地文件的访问???比如我本地文件d:\\a.txt被删除我想道是本地用户删的还是远程用户删的。 关于这一点我已实现,不过我无法实现的是:如果是远端机器来访问,则远端的用户名、IP地址的确定。不知,哪位高手能提供一些解决方案和思路。 确定是本地还是远端的方法和james_razor的方法类似。即得到当前进程/线程的Token,然后依靠一个Win32 Service解析出一个用户名(可以不用Win32 Service,而直接使用应用程序)。建议你去看一下www.osr.com中的2000/XP File system FAQ中的第35条,我就是根据这一条款中的论述做出来的。 如果尚有不明白,我可以贴出我的源代码。 |
|
|
|
7楼#
发布于:2002-11-01 09:08
是否是用Sockt通信
|
|
|
8楼#
发布于:2005-05-13 14:38
关于这一点我已实现,不过我无法实现的是:如果是远端机器来访问,则远端的用户名、IP地址的确定。不知,哪位高手能提供一些解决方案和思路。
确定是本地还是远端的方法和james_razor的方法类似。即得到当前进程/线程的Token,然后依靠一个Win32 Service解析出一个用户名(可以不用Win32 Service,而直接使用应用程序)。建议你去看一下www.osr.com中的2000/XP File system FAQ中的第35条,我就是根据这一条款中的论述做出来的。 如果尚有不明白,我可以贴出我的源代码。 ----------------------------------------------------------- 事隔两年,找不到相关的资料。 能不能 把代码贴出来参考参考啊 |
|
|
9楼#
发布于:2005-05-18 12:00
是啊,找不到资料。
|
|
|
10楼#
发布于:2005-05-18 23:18
顶,如何利用获得的SID,得到IP地址呢?
|
|
|
11楼#
发布于:2005-05-22 21:43
:D 思路应该开阔点
|
|
|