Добрый день. Вопрос следующего порядка. Нужно создать прогграмму, которая будет следить за выбранныим списком файлов, и если будет происходить какое то изменение, то данное событие регистрировать в файле журнала информацию о процессе обратившемся к файлу. Я просто незнаю, с чего начать. Подскажите советом. Заранее благодарен Заикин Максим.
В Windows NT и так есть система аудита доступа к файлам. Если по каким-либо причинам нужно сделать такую систему самому, то надо писать драйвер фильтр файловой системы или перехватывать ZwReadFile/ZwWriteFile. Можно конечно апи и в юзермоде хучить, но это будет полный сакс.
Смотрите информацию о Windows File Protection. А именно http://www.rootkit.com/newsread.php?newsid=212 Windows File Protection - система как раз и следит за изменением списка файлов. И это всё в юзер-моде.
MaximZ Гы, примерно так ) http://wasm.ru/article.php?article=1021007 http://wasm.ru/article.php?article=apihook_3 http://wasm.ru/article.php?article=tracknapi
