好的,首先是一个小环境。我已经开始在我的uni工作了一个项目,其中一个目标是开发一个模块,在进程尝试时记录:
- 创建,删除或修改文件(基本上是文件系统活动) - 创建,检测或修改注册表ID /值
我们实际上将指定此模块要监视的进程,并且每当此进程尝试执行上面列出的任何活动时,它都将被记录。
目前,我正在研究驱动程序开发的基础知识,以及我的DS建议的过滤器驱动程序。这是我的问题,
实现这一目标的最佳方法是什么,是通过编写某种过滤器驱动程序?如果是,确切的是什么过滤器驱动程序,文件系统过滤器驱动程序或minifilter驱动程序或其他什么?或者不知道其他一些技术?
我只需要一点方向,这样我就可以进行有针对性的研究和实施,因为我没有太多时间进行这个项目!
答案 0 :(得分:0)
File system minifilter drivers是这样做的方法。
但棘手的部分是如何指定要监控的流程。如果您正在考虑PID,那么它非常直接,但如果您正在考虑使用像 notepad.exe 这样的进程/可执行文件名,那么这就变得不那么复杂了。
只是为了给你提示,你可以获得迷你过滤器操作的PID,但不能获得过程名称。因此,您必须在微过滤器驱动程序中维护一个PID映射来处理名称。您想要使用PsSetCreateProcessNotifyRoutineEx和PsSetLoadImageNotifyRoutine。