А>>открытие\закрытие файла не ловит
G2>Вообще я разочаровался в FileSystemWatcher'e, лучше в отдельном потоке по таймеру проверять, можно читать/писать или нет.
мне нужно мониторить какие файлы читает приложение. мне ваш вариант не подходит
Здравствуйте, Аноним, Вы писали:
А>Как можно отследить обращения программы к файлам?
ну раз filesystemwatcher тут радостно заплевали, то остаётся только вспомнить описаный в науке (Рихтером вроде) способ с подгрузкой своей библиотеки в чужой процесс, заменой там адресов соот-щих апишных функций своими с передачей вызова на реальные адреса и логированием вызовов так, как душе угодно.
N>ну раз filesystemwatcher тут радостно заплевали, то остаётся только вспомнить описаный в науке (Рихтером вроде) способ с подгрузкой своей библиотеки в чужой процесс, заменой там адресов соот-щих апишных функций своими с передачей вызова на реальные адреса и логированием вызовов так, как душе угодно.
Так, ну я понял.
Рассказать тут всем про файловые фильтры или не надо?
Тебе тут x64 будет рассказывать про фильтры файловой системы — ты его не слушай
Sapienti sat!
Re[3]: Отследить обращения к файлам
От:
Аноним
Дата:
28.05.11 04:11
Оценка:
Здравствуйте, x64, Вы писали:
N>>ну раз filesystemwatcher тут радостно заплевали, то остаётся только вспомнить описаный в науке (Рихтером вроде) способ с подгрузкой своей библиотеки в чужой процесс, заменой там адресов соот-щих апишных функций своими с передачей вызова на реальные адреса и логированием вызовов так, как душе угодно.
x64>Так, ну я понял. x64>Рассказать тут всем про файловые фильтры или не надо?
Это, конечно, интересно, а что делать, если окажется FAT диск ?
C>Тебе тут x64 будет рассказывать про фильтры файловой системы — ты его не слушай
Зря.
With best regards
Pavel Dvorkin
Re[2]: Отследить обращения к файлам
От:
Аноним
Дата:
28.05.11 05:22
Оценка:
Здравствуйте, Cyberax, Вы писали:
C>Здравствуйте, Аноним, Вы писали:
А>>Как можно отследить обращения программы к файлам? C>NTFS Change Journal. http://msdn.microsoft.com/en-us/library/aa363798%28v=vs.85%29.aspx
C>Тебе тут x64 будет рассказывать про фильтры файловой системы — ты его не слушай
у меня условия изменились. Надо отследить какие попытки чтения файлов есть в определенной директории.
т.е. файла может и не быть, но попытку его чтения надо отловить. Можно это сделать?
Здравствуйте, Аноним, Вы писали:
А>у меня условия изменились. Надо отследить какие попытки чтения файлов есть в определенной директории. А>т.е. файла может и не быть, но попытку его чтения надо отловить. Можно это сделать?
Здравствуйте, x64, Вы писали:
N>>ну раз filesystemwatcher тут радостно заплевали, то остаётся только вспомнить описаный в науке (Рихтером вроде) способ с подгрузкой своей библиотеки в чужой процесс, заменой там адресов соот-щих апишных функций своими с передачей вызова на реальные адреса и логированием вызовов так, как душе угодно.
x64>Так, ну я понял. x64>Рассказать тут всем про файловые фильтры или не надо?
у меня условия изменились. Надо отследить какие попытки чтения файлов есть в определенной директории.
т.е. файла может и не быть, но попытку его чтения надо отловить. Можно это сделать?
А>т.е. файла может и не быть, но попытку его чтения надо отловить. Можно это сделать?
Файловый фильтр.
Он же драйвер-фильтр файловой системы.
Более подробно об этом есть у меня в блоге.
Вопросы по теме можно задать в соответствующем разделе.
Конкретно ловить запросы IRP_MJ_CREATE, проверять флаги и текущий процесс.
Нет поддержки для FAT-томов.
Нет возможности определить программу.
C>Тебе тут x64 будет рассказывать про фильтры файловой системы — ты его не слушай
Меня, конечно, можно не слушать, но кроме меня про файловые фильтры рассказать людям, получается, некому, а все ваши жалкие уведомлялки и журналы либо убожество нерабочее, либо тупо для других целей предназначено (резервное копирование, например).
