Delphi-PRAXiS
Seite 1 von 2  1 2      
40 Beiträge dieses Themas auf einer Seite anzeigen

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Win32/Win64 API (native code) (https://www.delphipraxis.net/17-win32-win64-api-native-code/)
-   -   Delphi "Neue Datei" / "Datei löschen" - Hook (https://www.delphipraxis.net/88115-neue-datei-datei-loeschen-hook.html)

berens 10. Mär 2007 11:49
"Neue Datei" / "Datei löschen" - Hook
 
Hallo!

Kann mir irgendjemand einen Tip geben, wie ich es mit meinem Programm "mitbekomme", wenn irgendein Prozess (welcher?) eine Datei (welche?) erstellt (alternativ: zum Schreiben öffnet) bzw. löscht?

Luckie 10. Mär 2007 11:51
Re: "Neue Datei" / "Datei löschen" - Hoo
 
Das geht sicher nur mit einem Dateisystemfiltertreiber.

berens 10. Mär 2007 11:54
Re: "Neue Datei" / "Datei löschen" - Hoo
 
Hm, davon hab ich natürlich garkeine Ahnung. (Muss wohl Assembler ran?)
Hat jemand Ahnung davon, wie das gehen könnte? :gruebel:

Luckie 10. Mär 2007 11:58
Re: "Neue Datei" / "Datei löschen" - Hoo
 
Mit Delphi gar nicht und mit Assembler hat das nichts zu tun. Was du brauchst ist das DDK von Microsoft und viel Ahnung, was du da tust.

berens 10. Mär 2007 12:02
Re: "Neue Datei" / "Datei löschen" - Hoo
 
Also haken wir das erstmal ab :(

Gibt es irgendein Programm/"Treiber" das sowas Protokolliert (Virenscanner o.ä.)

Luckie 10. Mär 2007 12:11
Re: "Neue Datei" / "Datei löschen" - Hoo
 
Von Sysinternal gibt es ein entprechendes Programm. Aber ob da eine Protokolldatei schreiben kann, weiß ich nicht. Wozu brauchst du denn das?

berens 10. Mär 2007 12:18
Re: "Neue Datei" / "Datei löschen" - Hoo
 
Nun, es kann helfen Computerprobleme zu lösen und neuartige Viren zu identifizieren.

Ich habe z.B. atm einen PC, bei dem ständig eine Datei verschwindet, die ich für Windows (XP Pro!) über Zugriffsberechtigungen als nicht änder/schreibbar für "Jeder" markiert habe. Mich würde mal interessieren, wie die trotzdem dauernd wieder verschwinden kann.

Ausserdem kannst du z.B. bei einem Virus der mehrere Kopien von sich macht nachvollziehen, was das ursprüngliche Programm war. Beispiel:

Outlook.exe
-->ILoveYou.exe
---->svchost.exe
---->Paint32.exe
------>Paint64.exe
---->VirenBackup.exe
------>Paint32.exe
-------->Paint64.exe

So kannst du sehen, wenn du die Datei Paint32 löschst (weil du vermutest, dass dies ein Virus ist), und diese immer wieder neu erscheint, welches Programm immer wieder diese Datei neu erstellt. Hier also z.B. VirenBackup.exe. Und dann kannst du auch alle anderen Dateien per Hand löschen, die von dem selben Ursprungsprozess erzeugt wurden + Originalprogramm. Natürlich nur bis zu einer gewissen Ebene, da Explorer.exe, FireFox.exe, Outlook.exe etc. natürlich nicht gelöscht werden sollen...

Virenscanner ist aktuell, findet aber nichts. Dieses spezielle Thema ist aber in einem anderen Forum besser aufgehoben ;)

StefanG 14. Mär 2007 10:09
Re: "Neue Datei" / "Datei löschen" - Hoo
 
Wieso soll das nur mit einem Treiber funktionieren? Ein Hook auf die entsprechenden API Funktion sollte es doch auch tun.

berens 14. Mär 2007 10:11
Re: "Neue Datei" / "Datei löschen" - Hoo
 
Ja, jetzt ist nur meine Frage: Welche API ist das?

sirius 14. Mär 2007 10:12
Re: "Neue Datei" / "Datei löschen" - Hoo
 
Ich würde ja auf Createfile tippen :mrgreen:


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:43 Uhr.
Seite 1 von 2  1 2      
40 Beiträge dieses Themas auf einer Seite anzeigen

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz