تتبع أي عملية التي فتحت ملف معين
https://stackoverflow.com/questions/231547
-
04-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
ومن وضع kernel في نظام التشغيل Windows أنا قادرة على اعتراض ومراقبة جميع الإجراءات التي يتم تنفيذها عمليا على قرص معين. عند فتح ملف لأي غرض أحصل على الحدث.
والآن أريد أن تتبع التي التطبيق الذي فتحه. وأعتقد أن هذا ينبغي أن يكون ممكنا ولكن لا أعرف كيف.
وأنا باستخدام وظائف إدارة الملفات القياسية في نظام التشغيل Windows Win32 وAPI.
وشكرا مقدما.
و/ روبرت
المحلول
ومجرد استخدام Win32 وN.API للحصول على معرف المنتج من مقبض الملف. انها أسئلة وأجوبة لمدة 15 عاما ...
نصائح أخرى
سسنترنلس فيلمون (مجانا) يفعل ذلك، والأفضل من ذلك يصفون كيف فعلوا ذلك:
<اقتباس فقرة>لبرنامج تشغيل Windows 9X، والقلب من فيلمون في الجهاز الظاهري سائق، Filevxd.vxd. ومن حيوي تحميل، وفي التهيئة الخاصة به ذلك بتثبيت عامل تصفية نظام الملفات عبر خدمة محمل، IFSMGR_InstallFileSystemApiHook، ل إدراج نفسها على سلسلة نداء جميع طلبات نظام الملفات. على ويندوز NT قلب فيلمون هو ملف برنامج تشغيل نظام أن يخلق و تعلق الكائنات الجهاز مرشح ل الهدف جهاز نظام الملفات الكائنات حتى أن فيلمون سترى كل المعاد توطينهم عنوة و طلبات FastIO الموجهة في محركات الأقراص. عندما يرى فيلمون مفتوح، إنشاء أو مكالمة قريبة، فإنه يقوم بتحديث داخلي جدول تجزئة التي هي بمثابة رسم الخرائط بين مؤشرات الملفات الداخلية وملف أسماء المسار. كلما كان يرى المكالمات التي يتم التعامل مع القائمة، وهي بالبحث عن التعامل في جدول التجزئة للحصول على الاسم الكامل للعرض. اذا كان التعامل مع المستندة إلى المراجع وصول ملف افتتح قبل بدء فيلمون، فيلمون سوف تفشل في العثور على رسم الخرائط في تقريرها تجزئة الطاولة وسيقدم ببساطة قيمة مؤشر بدلا من ذلك.
و-Adam
وسسنترنلس بعمل جيد جدا في القيام بذلك وشرح ذلك، أن بعض شفرة المصدر من النسخة القديمة لا تزال متاحة <لأ href = "http://www.wasm.ru/baixado.php؟mode=tool&id=283 "يختلط =" نوفولو noreferrer "> هنا على سبيل المثال، كما تم توثيقه جيدا رمز (إيمهو). ويمكن أن يكون بداية جيدة كذلك.
وأود أن استخدام "handle.exe" التطبيق من Sysinternals.
وأو، هل كنت في الواقع تحاول أن تفعل هذا programmactically؟
