我想编写一个应用程序,它将监视由“客户端”应用程序(包括其所有进程)修改的文件,并在客户端应用程序执行完成时将它们恢复到原始状态。这可以使用卷影服务实现,还是应该编写文件系统过滤器驱动程序,因为我似乎需要编写驱动程序来确定特定进程访问哪些文件。
答案 0 :(得分:2)
为了能够基于每个进程监视文件,您需要一个文件系统过滤器驱动程序。在用户模式下监视文件更改的其他方法是使用API FindFirstChangeNotification , FindNextChangeNotification 和 ReadDirectoryChangesW