|
阅读:3038回复:11
求助 文件拷贝监控
论坛上已经有好些讨论这个内容的帖子了,大体浏览了一遍,感觉还是有点迷糊,请做过的兄弟帮帮忙啊!
我现在是要监控 从或是到 移动设备的拷贝操作,具体实在sfilter的例子上进行开发的 具体的监控不需要考虑例如自己编写工具进行读写文件拷贝的极端情况 看前面的帖子,在应用层上做hook的话,一来我没做过不熟悉,二来感觉可能会容易被杀毒软件给误杀 各位大侠能否提供一个驱动层上可行的定位拷贝操作的思路啊? |
|
|
沙发#
发布于:2009-10-10 12:11
我想如果是在同一个volume中拷贝,应该是直接改变的文件路径,如果在不同volume中拷贝,应该就要考虑文件读写了
|
|
|
板凳#
发布于:2009-10-10 12:46
回 1楼(neak47) 的帖子
在同一个卷内,应该就只是一个rename操作;在不同卷内,考虑文件读写的话,感觉会被其他读写操作给淹没...... 在网上见到一个方法,直接引文 “在IRP_MJ_QUERY_INFORMATION 请求中 irpSp->Parameters.QueryFile.FileInformationClass的值是FileEaInformation 注意这个IRP_MJ_QUERY_INFORMATION,是针对要复制的文件发出来,这个时候把被复制的文件名记录下来,而在该请求完后,便立刻对对目标文件进行写操作,也就是会对目标文件发一个IRP_MJ_WRITE,在这个请求中获得复制到的目标文件中的全路径文件名,判断该文件名中是否包含刚才复制的那个文件名” 这种方法不知道可不可行,我正在试。 还有什么其他办法吗??? 大侠们请帮忙! |
|
|
地板#
发布于:2009-10-10 12:57
如果要监控拷贝操作, 其实从理论上讲是不太可能的, 原因是文件拷贝操作最终可分解为
和拷贝操作毫无关系的,分散的Read,Write操作; 如果你真的想搞个玩具玩玩, 那你从文件 系统过滤驱动层面上入手更是错误的, 因为文件系统过滤驱动里不存在文件拷贝这个概念; 所以,你只能从应用层入手: Hook CopyFileW, CopyFileExW |
|
|
|
地下室#
发布于:2009-10-10 13:21
移动存储的监控和加密,我给你个测试版的,我只监控了USB写操作,没有监控读。
留下Email,我发给你吧。 |
|
|
5楼#
发布于:2009-10-10 13:33
|
|
|
6楼#
发布于:2009-10-10 14:19
回 3楼(devia) 的帖子
谢谢版主大人的回复。的确目前的感觉是文件copy其实和文件系统过滤驱动没有什么简洁的联系。 我再仔细琢磨琢磨看看能不能有什么办法 嗯,真是有些不甘心啊! |
|
|
7楼#
发布于:2009-10-10 14:59
回 4楼(wanglq_2007) 的帖子
恩,不是代码,是二进制软件 |
|
|
8楼#
发布于:2010-06-02 23:55
回 4楼(wanglq_2007) 的帖子
给偶发一份吧,liumd1027@163.com 谢谢 |
|
|
9楼#
发布于:2010-06-03 09:09
感觉hook比较可行。。。。。。。。。。
驱动好像太复杂 |
|
|
|
10楼#
发布于:2010-06-04 23:55
回 4楼(wanglq_2007) 的帖子
好人啊 给我也发一份吧 谢谢了 wangyangwla@sina.com |
|
|
11楼#
发布于:2010-06-07 19:26
回 4楼(wanglq_2007) 的帖子
大牛能不能传我一份!谢谢!dongn0905@126.com |
|