在Windows 10到(a)上是否有办法检测命名文件的低级调用,以及(b)识别哪个无论是由Microsoft .NET,GCC,QT/C 还是其他C语言?
来自Eryksun:
需要一个文件系统的微型驱动器,例如Process Monitor的执行方式。例如,通过MoveFileEx重命名的调用系统服务NtSetInformationFile设置FileRenameInformation。然后,I/O管理器调用IRP_MJ_SET_INFORMATION的文件系统设备堆栈。