回 帖 发 新 帖 刷新版面

主题:求文件钩子

windows中打开或创建文件时触发,返回文件路径和文件名 。
用于 病毒防火墙等 。



[fly]怎么做?[/fly]

回复列表 (共24个回复)

11 楼

10楼说得对。

12 楼

filespy 是 IFS DDK 提供的,这个是服费的, NTDDK 才是免费获得的。
但 NTDDK 里没有 fs filter 的例子,不过网上有 FILEMON 可以参考。
看你目的是要做什么了,仅仅监视文件操作在 app 就能做到,有现成
的函数。如果要做透明加密或者访问控制,使用 IFS 或者 FILEMON
比较合适,不过你开发成本就高了,如果以前没写过 nt driver 的话
上来写 fs filter 会很难把握的住。其实只要有 nt driver 基础,
实现 fs filter 预期功能不难,但要稳定下来就要看功力了。还有一种
方式就是 hook SSDT 挂那些 ZwCreateFile 的 native api。不过这种
方法和在 app 层 hook api 有个共同的缺点,那就是网络共享方式是
防不住的,因为都直接走的 redirect file system driver 在内核
直接利用 TDI Client driver 发包,不会经过 system call 所以
hook 不到。

13 楼


10楼说的是
API有这种函数
有的还没有公布出来了

14 楼

我顶顶

15 楼

顶顶

16 楼

hao

17 楼

tyh

18 楼

ty j

19 楼

CreateFileEx的函数原型是什么啊

20 楼

哪有CreateFileEx这个函数哦

我来回复

您尚未登录,请登录后再回复。点此登录或注册