大家好，我是一个共享软件作者，
最近在开发中需要捕获系统的文件操作，
在网上搜索不外乎几种方式：
1、挂接api(api hook)
2、FindFirstChangeNotification
3、SH函数族
4、文件系统过滤驱动

现在问题是：
挂接api不太稳定，
FindFirstChangeNotification似乎只能在文件操作之后才能得到通知
sh函数组只有在shell(Explorer)操作文件时才通知
看似只有采取驱动方式才能解决

但是我仍想知道，是否有更简单的方法能解决这个问题？
不是说怕驱动，而是不想引入没有必要的复杂性。

就是说，什么方法是能在文件操作之前进行捕获的最简单方案？
欢迎任何建议，谢谢。

不懂，貌似就是楼主的标题。

我原来做的一个东西用SH函数族，都不是特别好。可能也是本身技术问题

建议使用文件系统过滤驱动，AT建议的。

引用:

原帖由 敢刷天下单 于 2007-12-11 10:13 发表
我原来做的一个东西用SH函数族，都不是特别好。可能也是本身技术问题

建议使用文件系统过滤驱动，AT建议的。

谢谢回复，不知道AT是谁？

SSDT hook

引用:

原帖由 Johnxin 于 2007-12-11 10:41 发表
SSDT hook

谢谢回复，但感觉这种技术潜在会引起系统的不稳定。
我现在需要寻找的是：
最稳定、代码量最小、复杂度最低、能够在文件读写操作之前捕获的方式。
欢迎任何建议，谢谢。

最稳定、代码量最小、复杂度最低、能够在文件读写操作之前捕获的方式。

想这样的要求，没有人能给你建议。

file system filter driver就是最稳定，最简单的做法了，搞个驱动其实远没想象的麻烦。

貌似听说64位的Vista的驱动必须经过数字签名。