在Windows 7上可靠地监视/跟踪/记录用户文件访问_Windows_Windows 7_Filesystems_Hook_Dll Injection

在Windows 7上可靠地监视/跟踪/记录用户文件访问

windows windows-7 filesystems

在Windows 7上可靠地监视/跟踪/记录用户文件访问,windows,windows-7,filesystems,hook,dll-injection,Windows,Windows 7,Filesystems,Hook,Dll Injection,我需要跟踪用户访问（创建、打开、读取）的所有文件，并记录这些操作，以便在单独的应用程序中进行进一步处理。我已经调查并寻找了实现这一目标的可能方法（尽可能简单），并提出了以下解决方案：钩住kernel32.dll并截取所有特定于文件的函数，如 CreateFileA、OpenFile等等，我想修改IAT并提供包装函数。我还是向前看对原始函数的调用，但是报告哪些文件在哪里访问我的应用程序时访问。这听起来很容易实现，但我我怀疑它是否能完美地工作 Windows 7在我看来是新的安全

我需要跟踪用户访问（创建、打开、读取）的所有文件，并记录这些操作，以便在单独的应用程序中进行进一步处理。我已经调查并寻找了实现这一目标的可能方法（尽可能简单），并提出了以下解决方案：

钩住kernel32.dll并截取所有特定于文件的函数，如 CreateFileA、OpenFile等等，我想修改IAT并提供包装函数。我还是向前看对原始函数的调用，但是报告哪些文件在哪里访问我的应用程序时访问。这听起来很容易实现，但我我怀疑它是否能完美地工作 Windows 7在我看来是新的安全限制阻止通过修改导入地址表。也许有人更清楚：）

编写一个文件系统迷你过滤器并生成回调函数报告关于文件访问。因为我没有在我不知道之前写了一个迷你过滤器知道这是否可行方法我相信发展微型过滤器需要更多的努力。也许有人能指出一些写作教程等资源简单的文件系统迷你过滤器

我知道微软的迂回库，但在这个阶段我想避免使用它，因为钩子一般都很简单。在Windows7中，有没有可靠的方法可以在不使用迂回或便捷的情况下连接文件功能？关于微型过滤器：我相信我想要实现的是与处理加密的过滤器相比非常简单的。然而，我没有编写微型过滤器的经验，也无法估计实现目标需要多少努力。我偶然发现的所有示例都涉及文件系统过滤器，而不是迷你过滤器

我感谢您的任何提示和建议：）

您好，

好奇

在.NET中您可以使用。

您是否检查了我们的产品，它提供了一个随时可用的过滤器驱动程序，并允许您以用户模式编写所有逻辑

这不在可靠的范围内，也不在可伸缩的良好建议范围内。这需要观察所有卷，包括处理到达卷和离开卷。你知道这种方法在查看整个卷时是如何扩展的吗？我的钱在文件系统（mini）过滤器驱动程序上（你可以在中查看/src/filesystem/miniflter/scanner示例）。使用miniflter，我可以跟踪最初发布访问权限的程序吗？你好，Eugene。我已经检查了你的电话号码过滤器。它似乎是一种固体产品。但是，我现在还不能给它颁发许可证。谢谢你的提示@好奇号，如果您感兴趣，我们提供大幅折扣和分期付款。我理解，对于私人非商业项目，这可能不是一个选择。此外，出于科学和教育目的（如毕业设计或短期需求），我们提供有时间限制的免费许可证（6至12个月）。@好奇号顺便说一句，我们现在也提供免费许可证。