In Windows, wie kann ich in C verfolgen, welche Dateien ein Kindprozess liest und schreibt?

Question

Mein Ziel ist es, beim Ausführen eines Befehls genau zu bestimmen, welche Dateien es liest und schreibt. In Linux kann ich das mit ptrace machen (mit der Arbeit, ähnlich wie strace) und bei freebsd und MacOS kann ich das mit dem ktrace-Systembefehl machen. Was würden Sie verwenden, um diese Informationen in Windows zu erhalten?

Meine bisherigen Untersuchungen legen nahe, dass ich entweder die Debugger-Schnittstelle (ähnlich wie ptrace in vielerlei Hinsicht) oder vielleicht ETW verwende. Eine dritte Alternative besteht darin, eine DLL einzufügen, um Systemaufrufe während ihrer Herstellung abzufangen. Leider habe ich nicht die Erfahrung zu erraten, wie schwierig jeder dieser Ansätze sein wird.

Irgendwelche Vorschläge?

Answer 1

Wie Sie vorgeschlagen haben, ist dies eine ziemlich einfache Aufgabe mit API-Hooking mit DLL-Injektion zu lösen.

Das ist ein ziemlich guter Artikel über das: http://www.codeproject.com/Articles/2082/API-hooking-revealed

ich Sie glauben, mehr aktuelle Artikel über das Thema zu finden.

Sie müssen jedoch wahrscheinlich C++ verwenden, um ein solches Dienstprogramm zu implementieren. Übrigens können Programme die Dll-Injektion deaktivieren, ich konnte diesen Ansatz beispielsweise nicht in der Testversion von Photoshop verwenden.

Sie können also überprüfen, ob Sie DLLs in den gewünschten Prozess mit einer vorhandenen Lösung injizieren können, bevor Sie Ihre eigenen schreiben.

Viel Glück.

Answer 2

Leider scheint es keinen einfachen Weg zu geben, Datei-Level-Operationen unter Windows abzufangen.

Hier sind einige Hinweise:

• Sie könnten versuchen, FileMon von Sysinternals zu verwenden, wenn es genug für Ihre Bedürfnisse ist, oder versuchen, an der Quelle des Werkzeugs könnte
• Sie Nutzung kommerzieller machen aussehen Software wie Detours - Vorsicht, habe ich nie, dass ich selbst und ich bin nicht sicher, es Ihre Bedürfnisse wirklich

trifft Wenn Sie mit dem es, ein besseres Verständnis und sind nicht Angst wollen Hand tun , die Windows-Art des Abfangens von Datei-IO verwendet eine File System Filter Driver. In Windows ist ein FilterManager eingebettet, der alle Aufrufe des Dateisystems an Minifilter weiterleiten kann.

Um es zu bauen, wird die Schnittstelle mit dem System durch den FilterManager zur Verfügung gestellt, und Sie müssen nur (Minifilter) den Code filtern und installieren, der die eigentliche Filterung tut - hüte dich wieder nie ...

Answer 3

Bitte, einen Blick auf die folgenden Artikel nehmen:

http://www.codeproject.com/Articles/950/CDirectoryChangeWatcher-ReadDirectoryChangesW-all 

Es ist ein sehr alt, aber laufe Weg Verzeichnisänderungen zu beobachten.

Answer 4

Microsoft besitzt eine Reihe von Tools namens SysInternals. Es gibt ein Programm namens Process Monitor, das Ihnen alle Dateizugriffe für einen bestimmten Prozess zeigt.Das ist sehr wahrscheinlich, was Sie wollen.

Answer 5

prüfen diese perticular Link für Ihre Frage aus ... Das könnte Sie auch Is there something like linux ptrace syscall in Windows?

helfen, wenn Sie niedrigere Versionen wie XP ausgeführt werden, die Sie diesem Link .. https://technet.microsoft.com/en-us/sysinternals/bb896645.aspx
Lassen Sie mich überprüfen sollten, wissen, ob es nicht

auch hilft möchte ich Ihnen diesen Mann zu überprüfen .. Monitoring certain system calls done by a process in Windows