美好的一天。 请说,有没有机会拦截和记录NTFS活动? Procmon在NTFS上记录系统操作(创建,打开,删除等),但不保存在保存文件时放置在文件上的块体。
谢谢!
答案 0 :(得分:1)
您需要编写文件系统过滤器驱动程序。这是一个非常好的教程:
答案 1 :(得分:0)
编写内核模式代码并不是一件容易的事!
因为你开始这次冒险,你可以仔细看看由Mark Russinovich写的Sysinternal Suite。也许你在那里找到了有用的东西,如果没有,那么这些工具可以帮助你编写微过滤器!