Есть интересный вопрос — как-то в Win можно определить какой из процессов последний раз менял файл?
Вариант задать каждому процессу своего пользователя не очень юзабелен.
Здравствуйте, _Butch_, Вы писали:
_B_>Здравствуйте, Gadsky, Вы писали:
G>>Есть интересный вопрос — как-то в Win можно определить какой из процессов последний раз менял файл?
_B_>Нет. Ну разве что написать простенький минифильтр.
Так и думал. Фильтр — это типа хука? Можно чуть ближе к ним носом меня тыкнуть?
Здравствуйте, Gadsky, Вы писали:
G>Есть интересный вопрос — как-то в Win можно определить какой из процессов последний раз менял файл? G>Вариант задать каждому процессу своего пользователя не очень юзабелен.
G>>Есть интересный вопрос — как-то в Win можно определить какой из процессов последний раз менял файл?
_B_>Нет. Ну разве что написать простенький минифильтр.
Есть. Использовать etw логи. Или аудит. Что удобнее. Если конкретный файл — удобнее аудит.
Здравствуйте, Gadsky, Вы писали:
G>Здравствуйте, _Butch_, Вы писали:
_B_>>Здравствуйте, Gadsky, Вы писали:
G>>>Есть интересный вопрос — как-то в Win можно определить какой из процессов последний раз менял файл?
_B_>>Нет. Ну разве что написать простенький минифильтр.
G>Так и думал. Фильтр — это типа хука? Можно чуть ближе к ним носом меня тыкнуть?
Здравствуйте, _Butch_, Вы писали:
_B_>Здравствуйте, Gadsky, Вы писали:
G>>Так и думал. Фильтр — это типа хука? Можно чуть ближе к ним носом меня тыкнуть?
_B_>Нет, минифильтр — это драйвер.
Здравствуйте, _Butch_, Вы писали:
_B_>Здравствуйте, Gadsky, Вы писали:
G>>Так и думал. Фильтр — это типа хука? Можно чуть ближе к ним носом меня тыкнуть?
_B_>Нет, минифильтр — это драйвер.
Нужно перехватить ZwOpenFile,ZwCreateFile и вперёд. Вопрос только где хранить результаты перехватов.
