引用:

原帖由 hacker47 于 2007-12-11 11:01 发表


谢谢回复，但感觉这种技术潜在会引起系统的不稳定。
我现在需要寻找的是：
最稳定、代码量最小、复杂度最低、能够在文件读写操作之前捕获的方式。
欢迎任何建议，谢谢。

最稳定也能做，当然在ring3 也能做的， 不过会影响系统性能

谢谢大家，我的想法是尽可能远离底层，
除非绝对必要，
不是说怕写驱动，而是如果有用户态方式可以解决的话，
我当然不愿意使用底层技术。

我的需求是：
尽可能简单并且稳定，
能够捕获某一指定进程所有的文件操作，
包括文件创建、删除、修改，
要求必须在操作开始前得到通知，
而不是结束后。
欢迎任何建议，谢谢大家。

这样啊，这个就没有必要做driver 啦， 动态dll 注入就可以啦，如果这个进程软件支持plug-in 的话，就写个plug-in, 然后hook 这个进程中 readfile, writefile 等文件操作， 网上这样的code 一大堆啊

引用:

原帖由 Johnxin 于 2007-12-11 16:36 发表
这样啊，这个就没有必要做driver 啦， 动态dll 注入就可以啦，如果这个进程软件支持plug-in 的话，就写个plug-in, 然后hook 这个进程中 readfile, writefile 等文件操作， 网上这样的code 一大堆啊

谢谢了。

还是文件系统过滤驱动比较保险,

谢谢大家回复，正在继续寻找解决方案，如果没有更好的话，只有使用file system filter了。

不写这个软件就不需要驱动了……

最BS驱动的了,那次下载了一个驱动隐藏文件的,差点搞到我系统崩溃,还好我有SSM.

引用:

原帖由 Johnxin 于 2007-12-11 13:43 发表


最稳定也能做，当然在ring3 也能做的， 不过会影响系统性能

不好意思，请给个思路？

ring3 下全局HOOK