Суть в том что мне нужно перехватить удаление файла... Точнее мне нужно остановить этот процесс на несколько милисикунд для проведения операции с удаляемым файлом после чего файл может смело удаляться... из входных параметров только имя приложения которое собирается провести эту операцию... Натолкните на мысль чего читать и где рыть... за исходнички в которых можно будет порыться буду очень признателен
из тех котрые есть у меня в наличие только "Создание эффективных WIN32-приложений" Рихтера но в ней я ничего не нашел про удаление файлов... В принципе я понимаю... что либо нужно будет внедрять длл или ставить хук или писать драйвер ... но вот что практичнее в данном случае да и с чем будет проще разобраться вот это вопрос... если можно то напиши название книги где это можно прочитать...
redpinguin Возможно нужно попробовать связку FindFirstChangeNotification FindNextChangeNotification FindCloseChangeNotification
И еще хотел в тему спросить как это лучше реализовать... ? т.е писать драйвер или внедрять ДЛЛ или ставить хук... что посоветуете
Эффективнее всего написать драйвер для перехвата ZwSetFileInformation. Перехват сплайсингом или через хук SDT Как вариант, что и более безопасно, перехватывать в пользовательском режиме kernel32.DeleteFile или ntdll.ZwSetFileInformation. Варианты перехвата - сплайсинг или подмена импорта. Предпочтительнее первое
