Доброго времени суток! Хочу сделать в своем приложении мониторинг файловой системы. Т.е. из юзермода в процессе explorer.exe перехватить MoveFileExW и DeleteFileW из shell32.dll. Изначально планировал подгрузить свою dll через ключ реестра AppInit_DLLs. Т.е. добавить свою длл в AppInit_DLLs, изменить значение LoadAppInit_DLLs в 1, и убрать RequireSignedAppInit_DLLs. Кажется, этот способ не работает в Windows 7. В общем проблема, как загрузить свою dll в explorer.exe. Поскажите пожалуйста способы. Если палится антивирусами, пофиг. Главное чтобы работало.
Если задача подгрузить .dll в explorer, можно попробовать расширения explorer. Для мониторинга файловой активности существуют специальные API: тыц и тыц. API эти никогда не были особо надежны (тем не менее кмк это лучше чем что-то перехватывать в shell32), по-хорошему файлы должны мониториться другим способом. Раньше это делалось файловыми фильтрами. Сейчас возможно стоит попробовать трассировку событий.
если задача запустить код - то вот просто целое поле нестандарта: https://github.com/sbousseaden/injection-1
Да не, мне просто интересно, с ETW можно много интересного достать, вопрос в том, можно ли это сделать из под пользователя.