Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
除了在写入或读取进程内存后读取数据并搜索数据之外,有没有办法挂钩特定应用程序的磁盘写入并获取正在写入的数据?在磁盘上被篡改之前获取数据对我来说很重要。提前致谢!
声望太低,无法评论,抱歉。
我会说(呼应雷蒙德)迷你过滤器会很好地满足您的要求。
微软文档
FltGetRequestorProcessId 应该允许您按进程过滤。
您仍然会看到每个请求都通过,只需匹配您感兴趣的 pid。如果不是您的进程返回 FLT_PREOP_SUCCESS_NO_CALLBACK,您将不再担心该请求。