[请益] 侦测电脑档案IO Tripadvisor PTT批踢踢实业坊

楼主: Tripadvisor (妳是我的瑜) 2018-04-30 00:53:16

有点无头绪不知道怎么起头，本分是写.NET的，因为一项任务
需要记录电脑档案的开启记录，上网爬文过，似乎不是一件简单
的事情，有人推荐是使用第三方原件，不知道怎么侦测IO的流程
是如何的流程 ? 非资工毕业，觉得这似乎是比较底层的东西 ?
有前辈可以分享一些方向或是线索吗 ? 感激不尽 ~~~~~

作者: goodland (好地方) 2018-04-30 00:55:00

"需要记录电脑档案的开启记录"可以举例子吗？

作者: ihon822 (批大叔) 2018-04-30 01:08:00

设定Windows稽核原则然后monitor event

作者: wt (Time to Change!) 2018-04-30 03:39:00

windows有提供标准system call,注册后可收到讯息。可以研究一下。

作者: eoii 2018-04-30 06:06:00

去MS的technet找WMI

作者: plsmaop (plsmaop) 2018-04-30 07:28:00

Inotify?

作者: peanut97 (丁丁) 2018-04-30 10:07:00

你常常用 TripAdvisor 吗XD

楼主: Tripadvisor (妳是我的瑜) 2018-04-30 16:16:00

tripadvisor这名字是我创始的：)

作者: joremy628 (Yoooooooo霖) 2018-04-30 16:33:00

以前有写过监控档案建立、更新、删除的，有事件可以触发，不过开启档案的就没有试过

作者: clarencech (Clar) 2018-04-30 17:49:00

https://goo.gl/oFYrRv 应该是像这个?https://goo.gl/ZWuMe3 不知把资料夹下的每个档的LastAccessed记起来比对是不是个笨方法?

作者: olozil (ヾ(ΦωΦ)ツ) 2018-04-30 20:49:00

hook特定API, 我这么干过....还一种方法是写 Driver

作者: stupid0319 (征女友) 2018-04-30 21:00:00

createfile

作者: qsort (Cos) 2018-04-30 22:11:00

Sysinternal Process Monitor

作者: fj520 (fj520) 2018-04-30 22:47:00

ReadDirectoryChangesW

继续阅读