2,640
社区成员
发帖
与我相关
我的任务
分享如何实现监控所有经过USB端口拷贝的文件
一开始我用USB Sniffer,但监控得到的数据非常大,而且多为16进制不可读的,不容易进行分析。
我现在想获得所有经过USB端口拷贝过的文件的具体信息,该如何做呢?
我现在想获得所有经过USB端口拷贝过的文件的具体信息,该如何做呢?
...全文
请发表友善的回复…
发表回复
slipper520 2010-08-18
- 打赏
- 举报
我的邮箱是lp279579561@163.com,有什么资料可以参考的???帮忙啦!!!??谢谢~!~~!
slipper520 2010-08-18
- 打赏
- 举报
学习~~~~~~我也遇到同样的问题了,希望能有高手能指点一二!!!先谢了!~~
mcaok 2010-05-11
- 打赏
- 举报
ReadDirectoryChangesW+监视剪切板这是最容易实现的。
net_mz 2010-05-06
- 打赏
- 举报
可以的话 就直接做文件监控! 如果你的usb设备仅仅是U盘或者usb硬盘 呵呵
jscn123789abc 2009-04-17
- 打赏
- 举报
ding...
会思考的草 2009-03-09
- 打赏
- 举报
如果只是要记录不需要截断,就用shell hook好了。可以使用SHChangeNotifyRegister/SHChangeNotifyDeregister,针对收到的通知,判断一下目的盘符的设备类型是不是REMOVABLE的。
如果需要截断就只能使用filesystem filter,或者hook。
如果需要截断就只能使用filesystem filter,或者hook。
glorywu 2009-03-06
- 打赏
- 举报
1. 下载一个监控USB端口的软件
2. 自己开发
(1) HOOK 系统API
USB移动存储设备检测,可以参考http://www.vckbase.com/code/listcode.asp?mclsid=13&sclsid=1311
(2) 驱动,挂载到盘符,IRP_MJ_READ,IRP_MJ_WRITE例程中处理。
2. 自己开发
(1) HOOK 系统API
USB移动存储设备检测,可以参考http://www.vckbase.com/code/listcode.asp?mclsid=13&sclsid=1311
(2) 驱动,挂载到盘符,IRP_MJ_READ,IRP_MJ_WRITE例程中处理。
topwork 2009-03-06
- 打赏
- 举报
一个MiniFilter Driver可以解决你的问题。
skinfeature 2008-06-27
- 打赏
- 举报
http://www.vckbase.com/code/listcode.asp?mclsid=13&sclsid=1311
CathySun118 2008-06-25
- 打赏
- 举报
http://www.vckbase.com/code/listcode.asp?mclsid=13&sclsid=1311
