windows文件操作如何捕获
现在要求从事安全方面的研究
想来请教一下，如何对windows下的操作进行捕获
比如保存，删除，等操作，如何进行捕获
文件剪切，复制如和捕获
甚至是文件的拖拽，移动等如何捕获
大家有没有什么建议，或相关的资料，谢谢大家

跪求大家帮助啊

------解决方案--------------------
刚好我也在做相同的事情，在xp下没问题，但是windows7有点问题。
xp下的解决方法：
1）下载windows的Detours
2）安装；
3) 进入sample的traceapi目录，修改_win32.cpp文件，修改下面几个函数的实现（添加MessageBox看效果）；
文件重命名： MoveFile(类）
文件删除：DeleteFile(类）
文件拷贝：CopyFile (类）
文件剪切：MoveFileWithProgress（类）
4）编译；
5）cmd进入bin目录
6）kill explorer.exe
7) 运行 witdll.exe /d:traceapi.dll c:\windows\explorer.exe
8)在资源管理器中进行文件操作，看是否弹出对话框。

上面适用于xp，在windows7文件拷贝没使用上面的函数，（其他没动），
windows7的文件拷贝主要用SHFileOperationEx(Shell32.dll无该函数），不知如何hook。
楼主可用wingdb来查看explorer.exe的调用堆栈。