|
阅读:2183回复:4
急!如何监视并记录拷贝文件操作?
如何让windows监视并记录下文件拷贝操作的时间和源盘、目的盘以及拷贝的文件名等信息?
[编辑 - 8/11/03 by wwt920] |
|
|
|
沙发#
发布于:2003-09-18 10:29
在文件系统中使用一个FILTER,不光是能够记录磁盘文件的操作,即使是内容也可以记录。
|
|
|
板凳#
发布于:2003-09-18 13:27
截获文件操作的方法有很多,
在系统SHELL上有ICOPYHOOK这个COM接口可以截获对目录和打印机的操作; 也可以替换ZwXXXXXXX的文件操作函数地址来进行截获,然后分析; 再低层就写文件系统过滤驱动程序,监视IRP,进行分析,这个在IFSDDK里有例子,要监视包括IRP_MJ_CREATE/IRP_MJ_CREATE/IRP_MJ_READ/IRP_MJ_WRITE/IRP_MJ_SET_INFORMATION等。 但是无论哪种方法都有缺陷。 首先是你规则的缺陷:如果你记录复制操作,但不记录读和写操作,那恶意者很容易通过先读文件,再创建新文件写入来达到复制的目的 再举新建和删除规则的例子,如果拒绝删除,但又允许新建,那恶意者完全可以用CREATE_ALWAYS这个Option来创建一个同名文件,将原来的内容冲掉:=) 所以文件这个东西,要监视就得都监视,要不总是有漏洞。而且规则的设计很重要 |
|
|
|
地板#
发布于:2003-09-18 17:22
slough兄对文件操作部分很有研究呀
|
|
|
|
地下室#
发布于:2003-09-22 10:05
不敢不敢, 其实驱动我是生手, 正好文件这方面作过一点.
|
|
|