[求助]MiniFilter 如何监控一个文件从C盘拷贝到E盘？-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 2 楼监控IRP_SET_FILE_INFORMATION 2018-3-2 14:37 0
syxdotar 雪币： 1112 活跃值： (184) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 91 粉丝 0 关注私信	syxdotar 3 楼 hzqst 监控IRP_SET_FILE_INFORMATION 那我怎么知道它的源文件是谁？例如：从c盘拷贝文件到e盘，能知道e盘文件的路径，但是怎么找到是拷贝c盘中的文件？最后于 2018-3-5 18:05 被syxdotar编辑，原因： 2018-3-5 18:05 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 4 楼 syxdotar hzqst 监控IRP_SET_FILE_INFORMATION 那我怎么知道它的源文件是谁？例如：从c盘拷贝文件到e盘，能知道e盘文件的路径，但是怎么 ... IRP_SET_FILE_INFORMATION的PreCallback里文件还没移动，用常规方法取到的就是当前路径，用GetTunnel什么的取的才是目标位置的路径 2018-3-5 22:27 0
FaEry 雪币： 5052 活跃值： (2725) 能力值： ( LV12，RANK：290 ) 在线值：发帖 13 回帖 90 粉丝 125 关注私信	FaEry 6 5 楼 hzqst IRP_SET_FILE_INFORMATION的PreCallback里文件还没移动，用常规方法取到的就是当前路径，用GetTunnel什么的取的才是目标位置的路径 IRP_SET_FILE_INFORMATION里面的哪个子类型啊，微软说这个API只能在 IRP_SET_FILE_INFORMATION/IRP_MJ_CREATE Post里才有用啊~~~~~，还有不是移动文件，是复制复制复制啊啊啊啊啊啊最后于 2018-3-7 17:06 被FaEry编辑，原因： 2018-3-7 12:10 0
fior 雪币： 203 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 23 回帖 43 粉丝 0 关注私信	fior 6 楼复制文件应该只能通过precreate里面记录下靠上下文猜吧。即使是移动，跨卷也不会经过setfileinfo吧 2018-3-8 09:13 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 7 楼 FaEry hzqst IRP_SET_FILE_INFORMATION的PreCallback里文件还没移动，用常规方法取到的就是当前路径，用GetTunnel什么的取 ... 复制的话本质上就是CreateFile+ReadFile+WriteFile了 2018-3-9 11:20 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 8 楼弱弱的问一句，minifilter的备份技术是不是就是ReadFile和WriteFile，就在在另一个位置重新写的一份？ 2018-4-6 15:51 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 9 楼冰栈弱弱的问一句，minifilter的备份技术是不是就是ReadFile和WriteFile，就在在另一个位置重新写的一份？老一点的实现是ReadWrite方式，新一点的实现是放在原始文件最后面进行备份，这样子还原的时候不需要找到备份的地方。当然还有其他热备模式。 2018-4-9 12:08 0
沉醉星渊雪币： 16 活跃值： (527) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 112 粉丝 0 关注私信	沉醉星渊 10 楼我给你一个思路，当文件进行复制操作时，其文件流也是跟随复制过去的 2018-4-25 15:00 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 11 楼解决了吗？ 2018-6-22 11:48 0
qq不倒翁雪币： 968 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 11 粉丝 0 关注私信	qq不倒翁 12 楼顶，时总搞定了没？最后于 2018-6-27 15:21 被qq不倒翁编辑，原因： 2018-6-27 14:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 2 楼监控IRP_SET_FILE_INFORMATION 2018-3-2 14:37 0
syxdotar 雪币： 1112 活跃值： (184) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 91 粉丝 0 关注私信	syxdotar 3 楼 hzqst 监控IRP_SET_FILE_INFORMATION 那我怎么知道它的源文件是谁？例如：从c盘拷贝文件到e盘，能知道e盘文件的路径，但是怎么找到是拷贝c盘中的文件？最后于 2018-3-5 18:05 被syxdotar编辑，原因： 2018-3-5 18:05 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 4 楼 syxdotar hzqst 监控IRP_SET_FILE_INFORMATION 那我怎么知道它的源文件是谁？例如：从c盘拷贝文件到e盘，能知道e盘文件的路径，但是怎么 ... IRP_SET_FILE_INFORMATION的PreCallback里文件还没移动，用常规方法取到的就是当前路径，用GetTunnel什么的取的才是目标位置的路径 2018-3-5 22:27 0
FaEry 雪币： 5052 活跃值： (2725) 能力值： ( LV12，RANK：290 ) 在线值：发帖 13 回帖 90 粉丝 125 关注私信	FaEry 6 5 楼 hzqst IRP_SET_FILE_INFORMATION的PreCallback里文件还没移动，用常规方法取到的就是当前路径，用GetTunnel什么的取的才是目标位置的路径 IRP_SET_FILE_INFORMATION里面的哪个子类型啊，微软说这个API只能在 IRP_SET_FILE_INFORMATION/IRP_MJ_CREATE Post里才有用啊~~~~~，还有不是移动文件，是复制复制复制啊啊啊啊啊啊最后于 2018-3-7 17:06 被FaEry编辑，原因： 2018-3-7 12:10 0
fior 雪币： 203 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 23 回帖 43 粉丝 0 关注私信	fior 6 楼复制文件应该只能通过precreate里面记录下靠上下文猜吧。即使是移动，跨卷也不会经过setfileinfo吧 2018-3-8 09:13 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 7 楼 FaEry hzqst IRP_SET_FILE_INFORMATION的PreCallback里文件还没移动，用常规方法取到的就是当前路径，用GetTunnel什么的取 ... 复制的话本质上就是CreateFile+ReadFile+WriteFile了 2018-3-9 11:20 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 8 楼弱弱的问一句，minifilter的备份技术是不是就是ReadFile和WriteFile，就在在另一个位置重新写的一份？ 2018-4-6 15:51 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 9 楼冰栈弱弱的问一句，minifilter的备份技术是不是就是ReadFile和WriteFile，就在在另一个位置重新写的一份？老一点的实现是ReadWrite方式，新一点的实现是放在原始文件最后面进行备份，这样子还原的时候不需要找到备份的地方。当然还有其他热备模式。 2018-4-9 12:08 0
沉醉星渊雪币： 16 活跃值： (527) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 112 粉丝 0 关注私信	沉醉星渊 10 楼我给你一个思路，当文件进行复制操作时，其文件流也是跟随复制过去的 2018-4-25 15:00 0
冰栈雪币： 307 活跃值： (60) 能力值： ( LV3，RANK：20 ) 在线值：发帖 31 回帖 153 粉丝 2 关注私信	冰栈 11 楼解决了吗？ 2018-6-22 11:48 0
qq不倒翁雪币： 968 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 11 粉丝 0 关注私信	qq不倒翁 12 楼顶，时总搞定了没？最后于 2018-6-27 15:21 被qq不倒翁编辑，原因： 2018-6-27 14:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复