请问全局钩子如何钩住系统的文件操作，例如复制和剪切

qq14923349 2011-05-04 10:35:33

我需要监控电脑的所有文件操作，

请不要推荐WINAPI --ReadDirectoryChangesW
和
请不要推荐filemon驱动级

我很简单就需要钩住复制和剪切新建修改等文件操作

我自己写过键盘钩子和鼠标钩子
但是如何截取文件操作的消息？
能否给个例子

谢谢了

...全文

460 47 打赏收藏转发到动态举报

写回复

用AI写文章

47 条回复

切换为时间正序

请发表友善的回复…

发表回复

zhangmengvv 2013-08-15

打赏
举报

引用 16 楼 Lactoferrin 的回复:

改了一点


#include<windows.h>
#include<Shlobj.h>
#pragma comment(lib,"Shell32.lib")
using namespace std;

long __stdcall WindowProc(HWND hwnd,unsigned int uMsg,PIDLIST_ABSOLUTE*wParam,long lParam)
{
	static wchar_t Buffer[2048];static HANDLE hStdOut;unsigned long count;
	if(uMsg==WM_USER+123)
	{
		switch(lParam)
		{
			case SHCNE_RENAMEITEM:wcscpy(Buffer,L"SHCNE_RENAMEITEM:");break;
			case SHCNE_CREATE:wcscpy(Buffer,L"SHCNE_CREATE:");break;
			case SHCNE_DELETE:wcscpy(Buffer,L"SHCNE_DELETE:");break;
			case SHCNE_MKDIR:wcscpy(Buffer,L"SHCNE_MKDIR:");break;
			case SHCNE_RMDIR:wcscpy(Buffer,L"SHCNE_RMDIR:");break;
			case SHCNE_MEDIAINSERTED:wcscpy(Buffer,L"SHCNE_MEDIAINSERTED:");break;
			case SHCNE_MEDIAREMOVED:wcscpy(Buffer,L"SHCNE_MEDIAREMOVED:");break;
			case SHCNE_DRIVEREMOVED:wcscpy(Buffer,L"SHCNE_DRIVEREMOVED:");break;
			case SHCNE_DRIVEADD:wcscpy(Buffer,L"SHCNE_DRIVEADD:");break;
			case SHCNE_NETSHARE:wcscpy(Buffer,L"SHCNE_NETSHARE:");break;
			case SHCNE_NETUNSHARE:wcscpy(Buffer,L"SHCNE_NETUNSHARE:");break;
			case SHCNE_ATTRIBUTES:wcscpy(Buffer,L"SHCNE_ATTRIBUTES:");break;
			case SHCNE_UPDATEDIR:wcscpy(Buffer,L"SHCNE_UPDATEDIR:");break;
			case SHCNE_UPDATEITEM:wcscpy(Buffer,L"SHCNE_UPDATEITEM:");break;
			case SHCNE_SERVERDISCONNECT:wcscpy(Buffer,L"SHCNE_SERVERDISCONNECT:");break;
			case SHCNE_UPDATEIMAGE:wcscpy(Buffer,L"SHCNE_UPDATEIMAGE:");break;
			case SHCNE_DRIVEADDGUI:wcscpy(Buffer,L"SHCNE_DRIVEADDGUI:");break;
			case SHCNE_RENAMEFOLDER:wcscpy(Buffer,L"SHCNE_RENAMEFOLDER:");break;
			case SHCNE_FREESPACE:wcscpy(Buffer,L"SHCNE_FREESPACE:");break;
        }
		if(SHGetPathFromIDListW(*wParam,Buffer+wcslen(Buffer)))
		{
			WriteConsoleW(hStdOut,Buffer,wcslen(Buffer),&count,0);
		}
		if(SHGetPathFromIDListW(wParam[1],Buffer))
		{
			WriteConsoleW(hStdOut,L"->",2,&count,0);
			wcscat(Buffer,L"\n");
			WriteConsoleW(hStdOut,Buffer,wcslen(Buffer),&count,0);
		}else WriteConsoleW(hStdOut,L"\n",1,&count,0);
		return 0;
	}else if(uMsg==WM_CREATE)
	{
		hStdOut=GetStdHandle(STD_OUTPUT_HANDLE);
		return 0;
	}else
	return DefWindowProcW(hwnd,uMsg,(WPARAM)wParam,lParam);
}

int wmain(int argc, _TCHAR* argv[])
{
static WNDCLASSEXW wc={sizeof(WNDCLASSEXW),0,(WNDPROC)WindowProc,0,0,0,0,0,0,0,L"a",0};
wc.hInstance=GetModuleHandleW(0);
HWND hwnd=CreateWindowExW(0,(wchar_t*)RegisterClassExW(&wc),0,0,0,0,0,0,HWND_MESSAGE,0,0,0);
static SHChangeNotifyEntry shcne={0,1};
SHGetFolderLocation(0,CSIDL_DESKTOP,0,0,const_cast<_ITEMIDLIST**>(&shcne.pidl));
ULONG id=SHChangeNotifyRegister(hwnd,SHCNRF_InterruptLevel|SHCNRF_ShellLevel|SHCNRF_RecursiveInterrupt,SHCNE_ALLEVENTS,WM_USER+123,1,&shcne);
if(!id)return 1;
MSG msg;
while(GetMessageW(&msg,0,0,0))DispatchMessageW(&msg);
return 0;
}

您的这个方法能和hook相结合吗？

niushitang 2012-12-01

打赏
举报

我也是和楼主同样的问题。我HOOK CopyFileEx。CopyFileA 。SHFileOperation这三个函数系统什么都没反馈给我。我在Win7上。是否和操作系统有关系。

qq14923349 2011-05-09

打赏
举报

[Quote=引用 41 楼 lactoferrin 的回复:]
移动文件可以hook NtSetInformationFile
[/Quote]

你的代码我在VS2008试了很不错就是ctrl+c复制没出事件

另外我用API挂接复制倒是拦截到
但是弹出个\\.\shadow 什么意思哦

qq14923349 2011-05-09

打赏
举报

qq14923349 2011-05-09

打赏
举报

Lactoferrin 2011-05-06

打赏
举报

文件/文件夹操作不是用消息钩子的

qq14923349 2011-05-06

打赏
举报

请问hook文件/文件夹操作
是
WH_SHELL 可以吗？

还是其他消息

qq14923349 2011-05-06

打赏
举报

我刚好碰上8楼的情况
8楼能不能把新建复制粘贴剪切移动等对应的API 映射都发给我
那我就太感激了

：我也碰到右键获取不到CreateFile:: -_-!!!

蒙飞鸿 2011-05-06

打赏
举报

[Quote=引用 40 楼 qq14923349 的回复:]
引用 39 楼 mengfeihong 的回复:
拦截复制比较容易，但是剪切，当初试了很多API都不行，如果是CreateFile的话，太多系统动作走这个API了，不知道怎么判断其中哪个是剪切。

复制你是怎么拦截的
剪切分为复制和创建不行吗？
[/Quote]
记得是CopyFileExW吧，移动、剪切是不走这个API的

Lactoferrin 2011-05-06

打赏
举报

移动文件可以hook NtSetInformationFile

qq14923349 2011-05-06

打赏
举报

[Quote=引用 39 楼 mengfeihong 的回复:]
拦截复制比较容易，但是剪切，当初试了很多API都不行，如果是CreateFile的话，太多系统动作走这个API了，不知道怎么判断其中哪个是剪切。
[/Quote]

复制你是怎么拦截的
剪切分为复制和创建不行吗？

蒙飞鸿 2011-05-06

打赏
举报

拦截复制比较容易，但是剪切，当初试了很多API都不行，如果是CreateFile的话，太多系统动作走这个API了，不知道怎么判断其中哪个是剪切。

Lactoferrin 2011-05-06

打赏
举报

NtCreateFile,NtOpenFile,NtReadFile,NtWriteFile.........

qq14923349 2011-05-06

打赏
举报

就是监视计算机的所有操作

不过本地或者远程的操作全部记录下来···-_-!!!

这个不算很难吧

Lactoferrin 2011-05-06

打赏
举报

你到底要监视什么？远程复制肯定不会用CopyFile的

qq14923349 2011-05-06

打赏
举报

[Quote=引用 34 楼 lactoferrin 的回复:]
复制文件不一定用的CopyFile
[/Quote]
我是在桌面ctrl+c 复制的
然后CreateFile响应了，CopyFile一直没响应
要是能响应就好了
我就可以记录下来

Lactoferrin 2011-05-06

打赏
举报

复制文件不一定用的CopyFile

Lactoferrin 2011-05-06

打赏
举报

复制文件一定用的CopyFile,CopyFile连进度条都没有
你SetWindowsHookEx应该只是用来注入dll,对tlntsvr.exe,svchost.exe无效的

我说的NtCreateFile是ntdll.dll中用户模式的stub

qq14923349 2011-05-06

打赏
举报

NtCreateFile
这个是ring0层吗？
做这个不是要脱层皮？

我现在用detour挂ring3的CreateFile CopyFile
但是CopyFile不起作用
倒是复制的时候 CreateFile有通知（基本所有操作CreateFile都有通知）

我是H_SHELL
::SetWindowsHookEx( WH_SHELL , MyShellProc ,(HINSTANCE)g_hInst, 0);

有点小郁闷

Lactoferrin 2011-05-06

打赏
举报

vc6太老了，有些宏定义没有

你还是通过api hook监视对NtCreateFile,NtOpenFile,NtReadFile,NtWriteFile等的操作，不过比较麻烦

1、windows操作题：1)文件的复制操作;2)文件的删除操作;3)文件的重命名;4)文件的移动(即剪切)操作;2、IE操作题；1)网页的浏览即打开网页(如百度) ;2)搜索引擎(如用百度搜索关键词) ;3)收藏网页;4)设置主页;3、Word操作题1)字体的设置;2)段落的设置;3)边框与底纹;4)页眉与页脚;5)分栏的设置;4、EXCEL操作题1)设置单元格格式;2)行高的设置;3)填充柄的使用;4)合并及居中;5)公式的录入;6)图表的插入;7)数据筛选。

Wsyscheck是一款手动清理病毒木马的工具，其目的是简化病毒木马的识别与清理工作。一般来说，对病毒体的判断主要可以采用查看路径，查看文件名，查看文件创建日期，查看文件厂商，微软文件校验，查看启动项等方法，Wsyschck在这些方面均尽量简化操作，提供相关的数据供您分析。 Wsyscheck基本功能简单介绍: 1:软件设置中的模块、服务简洁显示简洁显示会过滤所微软文件，但在使用了“校验微软文件签名”功能后，通不过的微软文件也会显示出来。 SSDt右键“全部显示”是默认动作，当取消这个选项后，则仅显示SSDT表中已更改的项目。 2:关于Wsyscheck的颜色显示进程页：红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的文件。服务页：红色表示该服务不是微软服务,且该服务非.sys驱动。（最常见的是.exe与.dll的服务，木马大多使用这种方式）。使用“检查键值”后，蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护，也有可能是木马的键值保护。在取消了“模块、服务简洁显示”后，查看第三方服务可以点击标题条”文件厂商”排序，结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。进程页中查看模块与服务页中查看服务描述可以使用键盘的上下键控制。在使用“软件设置”-“校验微软文件签名”后，紫红色显示未通过微软签名的文件。同时，在各显示栏的"微软文件校验"会显示Pass与no pass。(可以据此参考是否是假冒微软文件，注意的是如果紫红色显示过多，可能是你的系统是网上常见的Ghost精简版，这些版本可能精简掉了微软签名数据库所以结果并不可信) SSDT管理页：默认显示全部的SSDT表，红色表示内核被HOOK的函数。查看第三方模块，可以点击两次标签“映像路径”排序，则第三方HOOK的模块会排在一起列在最前面。也可以取消“全部显示”,则仅显示入口改变了的函数。 SSDT页的“代码异常”栏如显示“YES”,表明该函数被Inline Hook。如果一个函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是Inline Hook的路径，而使用“恢复当前函数代码”功能只恢复Inline Hook，路径将显示为地址HOOK的模块路径，再使用“恢复当前函数地址”功能就恢复到默认的函数了。使用“恢复所有函数”功能则同时恢复上述两种HOOK。发现木马修改了SSDT表时请先恢复SSDT，再作注册表删除等操作。活动文件页：红色显示的常规启动项的内容。 3:关于Wsyscheck启动后状态栏的提示“警告！程序驱动未加载成功，一些功能无法完成。” 多数情况下是安全软件阻止了Wsyscheck加载所需的驱动，这种情况下Wsyscheck的功能有一定减弱，但它仍能用不需要驱动的方法来完成对系统的修复。驱动加载成功的情况下,对于木马文件可以直接使用Wsyscheck中各页中的删除文件功能,本功能带有“直接删除”运行中的文件的功能。 4:关于卸载模块对HOOK了系统关键进程的模块卸载可能导致系统重启，这与该模块的写法有关系，所以卸载不了的模块不要强求卸载，可以先删除该模块的启动项或文件(驱动加载情况下使用删除后重启文件即消失)。 5:关于文件删除驱动加载的情况下,Wsyscheck的删除功能已经够用了,大多数文件都可以立即删除(进程模块可以直接使用右键下带删除的各项功能),加载的DLL文件删除后虽然文件仍然可见，但事实上已删除，重启后该文件消失。文件管理页的“删除”操作是删除文件到回收站，支持畸形目录下的文件删除。应注意的是如果文件本身在回收站内，请使用直接删除功能。或者使用剪切功能将它复制到另一个地方。否则你可能看到回收站内的文件删除了这个又添加了那个。 Wsyscheck的或“dos删除功能”需要单独下载Wsyscheck的附加模块文件WDosDel.dat,将此文件与Wsyscheck放在一起会显示出相关页面，添加待删除文件并重启，启动菜单中将出现“删除顽固文件”字样，选择后转入Dos删除文件。在某些机器上，若执行“dos删除”重启后系统报告文件损坏要修复(此时修复会造成文件系统的真正损坏)，此时请不要修复而是立即关闭主机电源，重新开机。（这种情况是Dos删除所带的NTFS支持软件本身的BUG造成的，并不需要真正的修复，只需关闭电源重新开机即可。） “重启删除”与“Dos删除”可以同时使用。其列表都可以手动编辑,一行一个文件路径即可。关闭程序时如果上述两者之一存在删除列表，会问询是否执行。注意，为避免

VC/MFC

16,471

社区成员

421,732

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

VC/MFC社区版块或许是CSDN最“古老”的版块了，记忆之中，与CSDN的年龄几乎差不多。随着时间的推移，MFC技术渐渐的偏离了开发主流，若干年之后的今天，当我们面对着微软的这个经典之笔，内心充满着敬意，那些曾经的记忆，可以说代表着二十年前曾经的辉煌……
向经典致敬，或许是老一代程序员内心里面难以释怀的感受。互联网大行其道的今天，我们期待着MFC技术能够恢复其曾经的辉煌，或许这个期待会永远成为一种“梦想”，或许一切皆有可能……
我们希望这个版块可以很好的适配Web时代，期待更好的互联网技术能够使得MFC技术框架得以重现活力，……

试试用AI创作助手写篇文章吧

+ 用AI写文章