代码之家  ›  专栏  ›  技术社区  ›  ralphtheninja

如何捕获文件创建和负责的调用者

creation debugging file winapi c++
  •  0
  • ralphtheninja  · 技术社区  · 16 年前

    FindFirstChangeNotifications()

    欢迎提出任何建议。

    2 回复  |  直到 16 年前
        1
  •  3
  •   Idan K    16 年前

    1. 使用以下工具 FileMon Process Explorer ,他们可能足以追踪到它。
    2. Detours
        2
  •  2
  •   nhaa123    16 年前 

    /** We'll create a custom version of the CreateFile (WinAPI).
  *
  *
  */
HANDLE WINAPI __CreateFile(LPCWSTR fileName,
                           DWORD desiredAccess,
                           DWORD shareMode,
                           LPSECURITY_ATTRIBUTES securityAttributes,
                           DWORD createDisp,
                           DWORD flags,
                           HANDLE tmp)
{
        // At very first, we shall call the original CreateFile.

        HANDLE file = Real_CreateFile(fileName,
                                      desiredAccess,
                                      shareMode,
                                      securityAttributes,
                                      createDisp,
                                      flags,
                                      tmp);

        /** Here, you can do whatever you wish with fileName and the handle, file.
          *
          * ...
          */

        return file;
}

    然而,这还不够。您还需要从排毒中受益: 

    BOOL APIENTRY DllMain(HANDLE module, DWORD reasonForCall, LPVOID reserved)
{
        switch (reasonForCall) {
                case DLL_PROCESS_ATTACH: {
                        if (::GetModuleHandle(L"blablabla.exe") == NULL) {
                                DetourTransactionBegin();
                                DetourUpdateThread(GetCurrentThread());
                                DetourAttach(&(PVOID &)Real_CreateFile, __CreateFile);
                                DetourTransactionCommit();
                }

                break;

                case DLL_THREAD_ATTACH: {
                }

                break;

                case DLL_THREAD_DETACH: {
                }

                break;

                case DLL_PROCESS_DETACH: {
                        if (::GetModuleHandle(L"blablabla.exe") == NULL) {
                                DetourTransactionBegin();
                                DetourUpdateThread(GetCurrentThread());
                                DetourDetach(&(PVOID&)Real_CreateFile, __CreateFile);
                                DetourTransactionCommit();
                        }
                }
    }

    return TRUE;
}
    推荐文章
    7BeholdeR7  ·  文件夹的重量超过其中的文件(六倍)
    3 年前
    Clownpiece  ·  如何在python 3.8中反转txt文件?[已关闭]
    3 年前
    ColorfulYoshi  ·  如何在Tkinter中只打开一种格式的文件
    3 年前
    Kemper Lee  ·  JAVAutil。扫描仪拒绝接受下一个(或任何)输入(已解决)
    3 年前
    Tomás Jullier  ·  我需要用python替换SQL文件中的某个数字
    3 年前
    ilteris  ·  为什么程序在fscanf后崩溃
    3 年前
    Peaceful  ·  使用fscanf读取C中具有未知行数的文件
    3 年前
    NOCi  ·  如何将Tensorflow的结果记录到CSV文件
    3 年前
    Oakzeh  ·  如何在字符串索引之前读取文件并删除字符
    3 年前
    Harjinder Singh  ·  将文件附加到Netsuite中的记录
    3 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号