15,471
社区成员
发帖
与我相关
我的任务
分享十万火急啊!关于apihook的问题
我现在正在做一个项目,要求能拦截windows2K系统下的所有文件操作,并做出适当的反映,这些文件操作类型主要包括“创建”、“修改文件名或文件内容”、“删除文件”等等,操作可能有用户的键盘、鼠标或者程序调用api函数激发。
有如下几点要求:
1. 能对文件操作进行监视;
2. 能对文件操作进行相应的控制,比如允许某些文件被拷贝、某些不能被删除等;
3. 希望能采用apihook的技术来实现,而不采用FSD。因为本人是菜鸟,对文件系统开发几乎是陌生的。
4. 要求实现方法最好是和系统中的进程无关。我现在所了解的技术中,有一种就是编写动态库,然后注入某一个或某一些进程中来实现的。我觉得这个方法不灵活,用起来不方便。 因为事先无法知道系统当中有哪些进程,遍历进程表的方法太罗嗦了。
目前根据我所了解的资料,好象只能通过apihook和文件系统驱动能实现这样的需求;如果哪位大侠还有别的好思路,请不吝赐教,若有详细思路或vc代码,另开贴加分!
有如下几点要求:
1. 能对文件操作进行监视;
2. 能对文件操作进行相应的控制,比如允许某些文件被拷贝、某些不能被删除等;
3. 希望能采用apihook的技术来实现,而不采用FSD。因为本人是菜鸟,对文件系统开发几乎是陌生的。
4. 要求实现方法最好是和系统中的进程无关。我现在所了解的技术中,有一种就是编写动态库,然后注入某一个或某一些进程中来实现的。我觉得这个方法不灵活,用起来不方便。 因为事先无法知道系统当中有哪些进程,遍历进程表的方法太罗嗦了。
目前根据我所了解的资料,好象只能通过apihook和文件系统驱动能实现这样的需求;如果哪位大侠还有别的好思路,请不吝赐教,若有详细思路或vc代码,另开贴加分!
...全文
请发表友善的回复…
发表回复
figurine 2004-07-29
- 打赏
- 举报
To szclm(IT的民工)
我也已经收到,谢谢了。我看了一下,里面有两个sys文件,但是好象没有看到这几个文件的源代码程序。这几个驱动文件应该是是filemon的关键吧,你那里有么,可以发过来么?
我也已经收到,谢谢了。我看了一下,里面有两个sys文件,但是好象没有看到这几个文件的源代码程序。这几个驱动文件应该是是filemon的关键吧,你那里有么,可以发过来么?
shootingstars 2004-07-28
- 打赏
- 举报
To holyeagle(一杯清茶)
filemon有源代码么?呵呵,如果有的话,能否也给我一份?zhouhuis22@sina.com谢谢了。
呵呵,向各位学习。
filemon有源代码么?呵呵,如果有的话,能否也给我一份?zhouhuis22@sina.com谢谢了。
呵呵,向各位学习。
figurine 2004-07-28
- 打赏
- 举报
to holyeagle(一杯清茶):
那就太感谢你了!我的信箱地址是 myfigurine@163.com
我现在也估计是没辙了,多半要用驱动开发了。唉,痛啊!!~~
那就太感谢你了!我的信箱地址是 myfigurine@163.com
我现在也估计是没辙了,多半要用驱动开发了。唉,痛啊!!~~
shootingstars 2004-07-28
- 打赏
- 举报
To szclm(IT的民工)
收到,谢谢。
收到,谢谢。
szclm 2004-07-28
- 打赏
- 举报
我刚好有filemon源代码,发给大家吧!
还有谁要请发到clminsoft@163.com向我要吧!
还有谁要请发到clminsoft@163.com向我要吧!
sh0cker 2004-07-28
- 打赏
- 举报
FindFirstChangeNotification这个函数只能监控文件变化,而不能确切的知道哪个文件有变化吧?
holyeagle 2004-07-27
- 打赏
- 举报
filemon我好像有源码,找找发给你。
估计要用的IFS,不会那么简单了。
估计要用的IFS,不会那么简单了。
figurine 2004-07-27
- 打赏
- 举报
to BLsoft(網龍ζ龍活) :
你说的这个网站我下载了好几次,总是下载不下来。你能下载下来么,如果可以的话,可否发一份到我的信箱里来? myfigurine@163.com
to gracezhu(eutom) :
文档中心的这个例子我正在研究,filemon似乎没有源代码,而且它运行起来日志狂涨,我实在是看不出来哪一个才是真正最关键的日志。因为本人没有做过ddk开发,所以估计这样做的话难度会很大。。。。。
to lanstar200(褲衩便宜賣了~~) :
hookapi一直是我想突破的地方。我知道要 hook这几个函数,可否赐教进一步的方法或思路?
感谢大家对我这个问题的积极回应和支持!
你说的这个网站我下载了好几次,总是下载不下来。你能下载下来么,如果可以的话,可否发一份到我的信箱里来? myfigurine@163.com
to gracezhu(eutom) :
文档中心的这个例子我正在研究,filemon似乎没有源代码,而且它运行起来日志狂涨,我实在是看不出来哪一个才是真正最关键的日志。因为本人没有做过ddk开发,所以估计这样做的话难度会很大。。。。。
to lanstar200(褲衩便宜賣了~~) :
hookapi一直是我想突破的地方。我知道要 hook这几个函数,可否赐教进一步的方法或思路?
感谢大家对我这个问题的积极回应和支持!
名牌大灰狼 2004-07-26
- 打赏
- 举报
一个例子程序.http://www.codechina.net/codelist.asp?id=3202
lanstar200 2004-07-26
- 打赏
- 举报
Hook API CreateFile,ReadFile,WriteFile,DeleteFile.
gracezhu 2004-07-26
- 打赏
- 举报
如果是监视使用FindFirstChangeNotification这些API就够了,如果控制,则需要写IFS驱动,文档中心有个写驱动隐藏文件得例子.也可以参考sysinternals得filemon,我觉得不写驱动是实现不了你所要得功能得,个人看法.
