前些日子曾经问过一个文件过滤的问题,我再描述一下;
我想要截获系统对文件的操作,做个简单的监控程序,比如创建文件,删除文件等等,我并不想影响这些操作,只是想把这些行为记录下来。那么有两种方法:
1、做文件过滤驱动,比如FileMon,这样可以解决所有问题,但是感觉有点大动干戈,而且我从没做过驱动,这样的话需要很长的时间来学习。
2、通过对文件操作的API进行hook,这种方法简单些,但是我从现有的资料查到,只有98系统是所有进程共享同样的DLL空间,而2000等系统是每个进程单独的,这样的话需要把DLL导入到每个进程空间中,在我看来有点太难看了而起会引起系统问题。不知道大侠们有什么好的建议。
我想要截获系统对文件的操作,做个简单的监控程序,比如创建文件,删除文件等等,我并不想影响这些操作,只是想把这些行为记录下来。那么有两种方法:
1、做文件过滤驱动,比如FileMon,这样可以解决所有问题,但是感觉有点大动干戈,而且我从没做过驱动,这样的话需要很长的时间来学习。
2、通过对文件操作的API进行hook,这种方法简单些,但是我从现有的资料查到,只有98系统是所有进程共享同样的DLL空间,而2000等系统是每个进程单独的,这样的话需要把DLL导入到每个进程空间中,在我看来有点太难看了而起会引起系统问题。不知道大侠们有什么好的建议。
和FindNextChangeNotification()
HANDLE hChangeHandle // handle to change notification
);