日期:2014-05-17  浏览次数:21190 次

windows文件操作如何捕获
现在要求从事安全方面的研究
想来请教一下,如何对windows下的操作进行捕获
比如保存,删除,等操作,如何进行捕获
文件剪切,复制如和捕获
甚至是文件的拖拽,移动等如何捕获
大家有没有什么建议,或相关的资料,谢谢大家

跪求大家帮助啊

------解决方案--------------------
刚好我也在做相同的事情,在xp下没问题,但是windows7有点问题。
xp下的解决方法:
1)下载windows的Detours
2)安装;
3) 进入sample的traceapi目录,修改_win32.cpp文件,修改下面几个函数的实现(添加MessageBox看效果);
文件重命名: MoveFile(类)
文件删除:DeleteFile(类)
文件拷贝:CopyFile (类)
文件剪切:MoveFileWithProgress(类)
4)编译;
5)cmd进入bin目录
6)kill explorer.exe
7) 运行 witdll.exe /d:traceapi.dll c:\windows\explorer.exe
8)在资源管理器中进行文件操作,看是否弹出对话框。

上面适用于xp,在windows7文件拷贝没使用上面的函数,(其他没动),
windows7的文件拷贝主要用SHFileOperationEx(Shell32.dll无该函数),不知如何hook。
楼主可用wingdb来查看explorer.exe的调用堆栈。