Привет. Нужно перехватить начало записи в файл index.dat из UserMode Поставил перехват на IE.Все пучком. Однако ZwWriteFile не приходит для index.dat.Приходят любые другие файлы,но все ,кроме последнего Смотрел через filespy-все пучком.Идет write (ну,к примеру,при очистке истории url). Вот и возник у меня вопрос-как же все же пишет в index.dat IE ? Может как-то через FileMapping? Вопрос желательно тем,кто знает ответ (кто перехватывал запись в index.dat)
если он маппится, то из юзермода операции чтения-записи не перехватишь, т.к. они идут через диспетчер памяти, а далее на fast I/O драйвера ФС + кеширование, итд.
