美好的一天。 请说,有没有机会拦截和loggingNTFS活动? Procmon在NTFS上logging系统操作(创build,打开,删除等),但不会显示保存在文件上的块的主体。
谢谢!
您将需要编写一个文件系统过滤器驱动程序。 这里有一个非常好的教程:
文件系统过滤器驱动教程
编写内核模式代码不是一件容易的事情!
为了开始这个冒险,你可以仔细看看由Mark Russinovich所写的Sysinternal Suite 。 也许你会发现有用的东西,如果没有,那么这些工具可能会帮助你写出微过滤器!