我想编写一个应用程序来监视由“客户端”应用程序(及其所有进程)修改的文件,并在客户端应用程序执行完成后将其恢复到原始状态。 这可以通过使用卷影服务来实现,还是应该编写一个文件系统filter驱动程序,因为似乎我需要编写一个驱动程序来计算特定进程访问的文件。
为了能够以每个进程监控文件,您需要一个文件系统过滤器驱动程序。 监视用户模式下文件更改的其他方法是使用API FindFirstChangeNotification , FindNextChangeNotification和ReadDirectoryChangesW