Есть набор расшаренных файлов, доступ к которым можно осуществить например по SMB или FTP. Другие пользователи сети могут обращаться к файлам. Нужно как-то отследить момент доступа к расшаренным файлам из сети и идентифицировать пользователя, например по IP или netbios имени. Т.е. нужно получить таблицу: файл - ip обратившегося. Мысли: 1) Контролировать сетевые пакеты через фильтр на \Device\Ip, \Device\RawIp, \Device\Tcp и \Device\Udp. Судя по всему надо самому разбирать SMB/FTP пакеты, чтоб понять к какому файлу идет обращение. Слишком сложно. 2) Хучить NtCreateFile и подобные, чтоб определить к какому файлу идет обращение. Непонятно как определить, что это сетевой запрос и определить IP отправителя. Как правильно сделать?
