请问HookApi能否截获复制文件\删除文件\修改文件名这些系统调用

使用文件系统过滤驱动FileSpy能够截获复制文件\删除文件\修改文件名这些系统调用.但记录的内容太庞杂,不知道如何进一步分析.请问HookApi能否截获这些系统调用? 如果能,请问对应的动态库和函数名称是什么? 如果不能,有没有别的方法? 谢谢!

解决方案 »

  1.   

    MSDN有HOOK文件系统的方法.
    是不同于一般的API的.
    具体你可以参考一下filemon这个软件的源代码.网上很多的.
      

  2.   

    学习HookApi,参考下吧
    http://community.csdn.net/Expert/topic/4145/4145407.xml?temp=.1153376
      

  3.   

    "kernel32.dll", "DeleteFileA"
    "kernel32.dll", "DeleteFileW"
    "kernel32.dll", "MoveFileA"
    "kernel32.dll", "MoveFileW"
    kernel32.dll", "CopyFileA"
    kernel32.dll", "CopyFileW"
    "kernel32.dll", "CopyFileExA"
    "kernel32.dll", "CopyFileExW"