记录和捕获 NTFS 活动
Posted
技术标签:
【中文标题】记录和捕获 NTFS 活动【英文标题】:Record and capture NTFS activity 【发布时间】:2012-09-16 15:47:35 【问题描述】:美好的一天。 请问,有没有机会拦截和记录 NTFS 活动? Procmon 记录 NTFS 上的系统操作(创建、打开、删除等),但在保存文件时不显示放置在文件上的块的主体。
谢谢!
【问题讨论】:
【参考方案1】:您需要编写一个文件系统过滤器驱动程序。这是一个非常好的教程:
File System Filter Driver Tutorial
【讨论】:
这篇文章是一个非常的关于 Legacy File System Filter 驱动程序的简要介绍,这些驱动程序已被弃用。现在,支持编写文件系统过滤器的方法是通过 Mini-filter 模型。在此处查看 MSDN 文档:msdn.microsoft.com/en-us/library/windows/hardware/gg462968.aspx【参考方案2】:编写内核模式代码并非易事!
在开始这次冒险之前,您可以仔细查看由 Mark Russinovich 撰写的 Sysinternal Suite。也许你在那里找到了一些有用的东西,如果没有,那么这些工具可能会帮助你编写微过滤器!
【讨论】:
以上是关于记录和捕获 NTFS 活动的主要内容,如果未能解决你的问题,请参考以下文章