Zitat von
himitsu:
Es sollte doch wohl reichen, wenn du die Funktionen zum öffnen der Dateien hookst?
Also CreateFileA und CreateFileW. (Ob es da jetzt noch was gibt weiß ich im Moment nicht, aber für die meißten Programme sollte es schon reichen)
Wenn du alles im Usermode hooken willst, wirst du um einen SSDT-Hook ala FileMon nicht herumkommen. Ich habe noch einen alten Source von FileMon, der ist allerdings wahrlich nicht mehr auf der Höhe der Zeit. Niemand hindert ein Programm daran ZwCreateFile statt CreateFile zu benutzen
