再会。请问,有没有机会拦截和记录 NTFS 活动?Procmon 记录 NTFS 上的系统操作(创建、打开、删除等),但在保存文件时不显示放置在文件上的块的主体。
谢谢!
问问题
174 次
2 回答
1
您将需要编写一个文件系统过滤器驱动程序。这是一个非常好的教程:
于 2012-09-16T15:51:57.067 回答
0
编写内核模式代码不是一件容易的事!
在您开始这次冒险之前,您可以仔细查看由 Mark Russinovich 编写的Sysinternal Suite 。也许你在那里找到有用的东西,如果没有,那么这些工具可能会帮助你编写微过滤器!
于 2012-10-03T13:03:19.327 回答