Autor Beitrag
hw23
Hält's aus hier
Beiträge: 1



BeitragVerfasst: Sa 22.04.06 16:47 
Hi!

Ich möchte einen speziellen Prozess überwachen und alle Dateien, die von ihm erstellt oder verändert wurden, auflisten.

Dafür habe ich mir bereits mal "SHChangeNotify" angesehen, was mir auch einfach alle Veränderungen auflisten kann, wo ich jedoch nicht die Herkunft der Änderungen betrachten kann. Gibt es da eine API Ansatzmöglichkeit?

Ansonsten hab ich mir überlegt das ganze mit Hooks zu realisieren. Jedoch hab ich da das Problem, dass mir auch dabei die Ansatzmöglichkeit fehlt, da ich mich in der Hookprogrammierung nicht sonderlich auskenne, und alle mir bekannten Tutorials sich auf die Erstellung von Keyloggern oder das Abfragen der MAusposition beschränken. Habt ihr da einen Tipp?

Danke im Voraus!
Luckie
ontopic starontopic starontopic starontopic starontopic starontopic starhalf ontopic starofftopic star
Beiträge: 11830
Erhaltene Danke: 162

Windows 7 Home
BDS2006
BeitragVerfasst: Mo 24.04.06 03:23 
Ohne lange nachgedsacht zu haben, würde ich so aus dem Bauch heraus sagen, dass das nach einem Dateisystemfiltertrieber klingt.

_________________
Gruß Michael
0xCC
ontopic starontopic starontopic starontopic starontopic starontopic starontopic starhalf ontopic star
Beiträge: 150



BeitragVerfasst: Mo 24.04.06 04:27 
wenn du die änderungen am fs durch einen bestimmten prozess protokollieren willst hast du nur 2 möglichkeiten:
1) Suche in: Delphi-Forum API HOOK auf CreateFileW in kernel32.dll oder Nt/ZwCreateFile in ntdll.dll (halte nach der uallcollection ausschau, meines wissens ist für CreateFile ein demo dabei)
2) kernel(filter)treiber
beides erfordert fundierte kenntnisse der windows api sowie der programmierung ohne delphi-strings

oder du verwendest einfach filemon von sysinterals.com.
Luckie
ontopic starontopic starontopic starontopic starontopic starontopic starhalf ontopic starofftopic star
Beiträge: 11830
Erhaltene Danke: 162

Windows 7 Home
BDS2006
BeitragVerfasst: Mo 24.04.06 08:05 
Und wenn es um Treiberprogrammierung geht natülich Efahrung in C, Erfahrung mit dem DDK und der Treiberprogrammierung ins besondere.

_________________
Gruß Michael