跟踪打开特定文件的进程



在Windows的内核模式下,我能够拦截和监视在特定磁盘上执行的几乎所有操作。当一个文件出于任何目的被打开时,我会得到一个事件。

现在我想追踪是哪个应用程序打开了它。我认为这应该是可能的,但不知道如何做到。

我使用的是Windows Win32 API中的标准文件管理功能。

提前谢谢。

/Robert

Sysinternals Filemon(免费)做到了这一点,更好的是,他们描述了他们是如何做到的:

对于Windows 9x驱动程序,心脏的FileMon在虚拟设备中驱动程序,Filevxd.vxd。它是动态的已加载,并且在初始化时通过安装文件系统筛选器VxD服务,IFSMGR_InstallFileSystemApiHook,到将自身插入的调用链所有文件系统请求。在Windows上NT FileMon的核心是一个文件创建和将筛选器设备对象附着到目标文件系统设备对象soFileMon将看到所有IRP和针对驱动器的FastIO请求。当FileMon看到打开时,创建或它会更新内部用作映射的哈希表内部文件句柄和文件之间路径名。每当它看到呼叫时是基于句柄的,它会查找哈希表中的句柄以获取显示的全名。如果基于句柄的访问引用文件在FileMon启动之前打开,FileMon将无法在其哈希表,并将简单地呈现句柄的值。

-Adam

Sysinternals在做这件事和解释这件事方面做得很好,例如,这里仍然可以使用一些旧版本的源代码,并且代码有很好的文档记录(imho)。这也可能是一个良好的开端。

我会使用Sysinternals中的"handle.exe"应用程序。

或者,你真的在尝试用程序的方式来做这件事吗?

只需使用Win32 N.API从File句柄获取pid。这是15年来的常见问题解答。。。

相关内容

  • 没有找到相关文章

最新更新