在Windows 10上是否有办法(a)以编程方式检测重命名文件的低级别调用,以及(b)确定正在执行哪个进程 ,无论是由Microsoft .NET,GCC,Qt / C ++还是其他C语言完成的?
答案 0 :(得分:1)
来自eryksun:
这需要file-system minifilter driver,就像Process Monitor所做的那样。例如,通过MoveFileEx重命名会调用系统服务NtSetInformationFile来设置FileRenameInformation。然后,I / O管理器使用IRP_MJ_SET_INFORMATION调用文件系统设备堆栈。