(求证)HOOK 文件日志的记录和提取

本人小白,希望求证这几个方案是否有实现的可能。
1:用钩子提取开机、关机、应用程序使用、文档使用(office系列)情况(其中前三种已有系统日志记录)。
2:插入U盘等移动设备时,利用钩子自动对里面的文件进行处理。
3:文件写入U盘的同时对文件进行加密处理。(可以用钩子吗?)
希望各路大神能够指点迷津,告诉我方法的可行性,或者是否有更好的方法?以及应该学习哪方面的知识。求学之路艰辛,希望贵人相助~~文档u盘HOOKwindows编程c/c++

解决方案 »

  1.   

    我查了Windows驱动编程,确实可以满足对文件的打开解密和关闭加密。可是我不明白应该看什么方面的书?而且貌似挺难的样子~~~
      

  2.   

    此类书不多,看《寒江独钓 windows 内核安全编程》吧,因为也没太多选择余地
      

  3.   

    谢谢老师的指导,我看了相关的资料,发现简介里就有我们要的东西,真是太诱人了!就是不知道难不难,有没有可用代码?我们课余时间不多,希望暑假能有点眉目,所以都在学校弄这个了
    还有那个HOOK应该怎么学呢?知道大概原理,无从下手
      

  4.   


    HOOK要对汇编有一定熟悉度,然后原理你了解了,说白了就是在关键的地方跳到自己的代码上进行执行,所以你要做的是“如何在关键的地方跳到自己的代码上”,这里面有2点要注意,1点是什么才叫关键,另外是如何跳。至于什么才叫关键,这要靠你通过调试找出,如何跳这个,就是改内存中的代码段,jmp到自己的代码上,处理完后再jmp回去。
      

  5.   


    HOOK要对汇编有一定熟悉度,然后原理你了解了,说白了就是在关键的地方跳到自己的代码上进行执行,所以你要做的是“如何在关键的地方跳到自己的代码上”,这里面有2点要注意,1点是什么才叫关键,另外是如何跳。至于什么才叫关键,这要靠你通过调试找出,如何跳这个,就是改内存中的代码段,jmp到自己的代码上,处理完后再jmp回去。
    对汇编确实不熟悉,大一下学了一点看了一些HOOK的代码,似乎都有固定的格式,但又不像汇编代码,如果需要实现“1”需要怎么做呢?
      

  6.   


    HOOK要对汇编有一定熟悉度,然后原理你了解了,说白了就是在关键的地方跳到自己的代码上进行执行,所以你要做的是“如何在关键的地方跳到自己的代码上”,这里面有2点要注意,1点是什么才叫关键,另外是如何跳。至于什么才叫关键,这要靠你通过调试找出,如何跳这个,就是改内存中的代码段,jmp到自己的代码上,处理完后再jmp回去。
    对汇编确实不熟悉,大一下学了一点看了一些HOOK的代码,似乎都有固定的格式,但又不像汇编代码,如果需要实现“1”需要怎么做呢?
    看这个
    Windows 文件系统过滤驱动开发教程(第二版)
    http://www.whitecell.org/forums/attachment.php?aid=26
      

  7.   

    可以下载pdf电子书看,如果像你所说的是自学且业余时间又不多,那相当困难,因为要涉及很多方面的知识。
    《windows核心编程》有很多篇幅讲解hook且很权威,现在或以后都必须要看。
    hook api 可以达到监控进程信息的目的,具体网上搜吧另外,俺不是啥老师,也是编程刚入门者,大伙是同学
      

  8.   

    同学表示很惭愧啊正在看《Windows核心编程》,确实有点难度,不过寒假前要做好这就是悲哀啊!
    另外想请教:打开文档系统日志是不会记录的,用HOOK也可以实现记录吗?
      

  9.   

    插入USB,每个窗口会收到WM_DEVICECHANGE
      

  10.   

    多谢了!这样就可以用HOOK了对吗?我用goagent上google查的
      

  11.   

    换了个代理,你的头像不就是goagent标志吗?唉,知道可以弄还是不会写~~~