2

さて、最初に少しコンテキスト。私は自分の大学でプロジェクトに取り組み始めました。その目標の1つは、プロセスが次のことを試みたときにログに記録するモジュールを開発することです。

-ファイルの作成、削除、または変更(基本的にファイルシステムアクティビティ)-レジストリID /値の作成、検出、または変更

実際には、このモジュールが監視するプロセスを指定します。このプロセスが上記のアクティビティのいずれかを実行しようとすると、ログに記録されます。

現在、DSで提案されているように、ドライバー開発の基本とフィルタードライバーを調べています。これが私の質問です、

これを達成するための最良の方法は何でしょうか、それはある種のフィルタードライバーを書くことによるでしょうか?はいの場合、正確にどのフィルタードライバー、ファイルシステムフィルタードライバー、ミニフィルタードライバー、またはその他のものですか?それとも他のテクニックがわからないのですか?

このプロジェクトにはあまり時間がないので、的を絞った調査と実装を行うことができるように、少し方向性が必要です。

4

1 に答える 1

0

これを行うには、ファイルシステムミニフィルタードライバーが使用されます。

ただし、注意が必要なのは、監視するプロセスをどのように指定するかです。PIDについて考えている場合、それは非常に簡単ですが、notepad.exeのようなプロセス/実行可能名を使用することを考えている場合、それは少し複雑になります。

ヒントとして、ミニフィルターでの操作のPIDを取得することはできますが、プロセス名を取得することはできません。したがって、ミニフィルタードライバーで名前を処理するには、PIDのマップを維持する必要があります。PsSetCreateProcessNotifyRoutineExPsSetLoadImageNotifyRoutineを使用する方法があります。

于 2012-12-26T12:41:45.333 に答える