怎样实现对文件的拷贝监控?

楼主^#

更多发布于：2007-03-05 16:55

  各位好:
   DriverDevelop的帖子给了我很多启发,在此由衷感谢大家!

   因为公司项目需要,我需要做一个监控某一分区下文件的动向, 比如 C:\ 下所有文件/文件夹的新建,拷贝,修改,重命名,删除等操作.

   目前我通过修改 FileMon的代码,通过分析IRP, 基本上已经实现了新建/修改/重命名/删除的日志,
   但是要生成拷贝的日志我实在是无从下手,在我看来,文件拷贝只是一些读与写的IRP组合,没有什么特征.

   请各位高人指点一二,
   于感激不尽!

喜欢0

wowocock

VIP专家组

注册日期2002-04-08
最后登录2016-01-09
粉丝16
关注2
积分601分
威望1651点
贡献值1点
好评度1227点
原创分1分
专家分0分

加关注写私信

沙发^#

发布于：2007-03-05 19:25

在我看来,文件拷贝只是一些读与写的IRP组合,没有什么特征.
你说对了.

花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠

回复喜欢

xiexiecn

驱动牛犊

注册日期2004-02-25
最后登录2009-02-23
粉丝0
关注0
积分3分
威望28点
贡献值0点
好评度25点
原创分0分
专家分0分

加关注写私信

板凳^#

发布于：2007-03-06 16:22

这个只有针对特定的程序才有可能“从理论上”做到。比如有的程序是通过CopyFile调用实现，那么你截获这个调用就OK了，或者前后打开名字相同的文件但是路径不同...等等，自己去发现吧。我的观点是，这种程序很无聊，最好不要去做，最后只会得出这种东西没有用的结论。

回复喜欢

fnnx_lsm 驱动牛犊注册日期2005-12-15 最后登录2014-03-31 粉丝0 关注0 积分5分威望112点贡献值0点好评度40点原创分0分专家分0分加关注写私信	地板^# 发布于：2007-03-06 17:36 呵呵, 感谢各位的回复, 我听说Kernel Hook 可以做到, 但是不知道HOOK哪个API. 如果哪位知道的话,请提示一下, 我感激不尽!
	回复(0) 喜欢(0)

znsoft

管理员

注册日期2001-03-23
最后登录2023-10-25
粉丝300
关注6
积分910分
威望14796点
贡献值7点
好评度2410点
原创分5分
专家分100分

加关注写私信

地下室^#

发布于：2007-03-06 22:13

如果不考虑dos方式,则可以通过shell hook实现

http://www.zndev.com 免费源码交换网 ----------------------------- 软件创造价值，驱动提供力量! 淡泊以明志，宁静以致远。 ---------------------------------- 勤用搜索，多查资料，先搜再问。

回复喜欢

hellangel

驱动中牛

注册日期2004-02-16
最后登录2016-04-19
粉丝0
关注0
积分1002分
威望236点
贡献值0点
好评度205点
原创分1分
专家分0分

加关注写私信

5楼^#

发布于：2007-03-06 22:25

引用第4楼znsoft于2007-03-06 22:13发表的“”:
如果不考虑dos方式,则可以通过shell hook实现

文件夹可以，文件做不到吧？

春眠不觉晓，处处闻啼鸟。夜来风雨声，花落知多少？

回复喜欢

dudubai 驱动牛犊注册日期2005-04-27 最后登录2016-01-09 粉丝0 关注0 积分91分威望10点贡献值0点好评度9点原创分0分专家分0分加关注写私信	6楼^# 发布于：2007-03-08 16:31 顶，能不能把代码发上来，研究一下。这一问题以前在论坛中就是一个热点，有不少相关帖子。
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册

怎样实现对文件的拷贝监控?

最新喜欢：