Мониторинг файловой стистемы

[саша40]

Цитата:

Сообщение от stasa9711

дык там для для локального приложения функции , тобишь для своего ....

но где указать куда она должна внедрятся ? тобишь в какую программу ? + еще как я понял, она внедряется во все библиотеки программы , но как ей казать, что нужно делать? (в моем случаи нужно блокировать все действия с файловой системой) или это нужно указать в самой библиотеке hook_splice_lib ?
Разъясните пожалуйста если не трудно

1)Хуки внедряются во всю систему, а не отдельное приложение. Так как они глобальные.
2)Тут смотрим на саму библиотеку. Она должна не дать произвести изменение в указанной директории, после выдать событие, в котором в качестве параметра должно быть то что пытались сделать.

[stasa9711]

Значит, чтоб не дать произвести изменения в директории , нужно это вписать в библиотеку, так ? вот библиотека :

Код:

library hook_splice_lib;
 
uses
  Windows,
  CommonHotPatch in '..\common\CommonHotPatch.pas';
 
{$R *.res}
 
procedure DLLEntryPoint(dwReason: DWORD);
begin
  case dwReason of
    DLL_PROCESS_ATTACH:
    begin
      // инициализируем структуру для перехватчика
      InitHotPatchSpliceRec;
      // пишем прыжок в область NOP-ов
      SpliceNearJmp(PAnsiChar(HotPathSpliceRec.FuncAddr) - 5, HotPathSpliceRec.SpliceRec);
      // перехватываем MessageBoxW
      SpliceLockJmp(HotPathSpliceRec.FuncAddr, LOCK_JMP_OPKODE);
    end;
    DLL_PROCESS_DETACH:
    begin
      // при выгрузке библиотеки снимаем перехват
      SpliceLockJmp(HotPathSpliceRec.FuncAddr, HotPathSpliceRec.LockJmp);
    end;
  end;
end;
 
function HookProc(Code: Integer; WParam: WPARAM; LParam: LPARAM): LRESULT; stdcall;
begin
  Result := CallNextHookEx(0, Code, WParam, LParam);
end;
 
exports
  HookProc;
 
begin
  DLLProc := @DLLEntryPoint;
  DLLEntryPoint(DLL_PROCESS_ATTACH);
end.

тобишь тут , библиотека отвечает за перехват функции, но вот как запретить изменения ?

[Человек_Борща]

Цитата:

дык там для для локального приложения функции , тобишь для своего ....

Зависит от задачи. Ловушку можно поставить в 1 процесс или же на всю систему. Но из пользовательского режима будет ряд трудностей, не решаемых проблем и просто непоняток.

Цитата:

но как ей казать, что нужно делать?

Изучайте Interprocess Communications

Цитата:

(в моем случаи нужно блокировать все действия с файловой системой) или это нужно указать в самой библиотеке hook_splice_lib ?

Чтобы блокировать доступ пользователя к папке, достаточно внедрить его explorer.exe и популярные файловые менеджеры.

Если делать глобально, то только в режиме ядра, т.е. писать сервис и драйвер.
Но можно и извратом заняться. Кому как нравится.
Перехватывать шаткий мостик между режимом ядра и пользовательским режимом. В драйвере же фильтровать Zw*** функции аналогично Nt*** в пользовательском.

[stasa9711]

Цитата:

Сообщение от Человек_Борща

Чтобы блокировать доступ пользователя к папке, достаточно внедрить его explorer.exe и популярные файловые менеджеры.

что вы имели в виду ?
И еще, тот пример , что я привел, может подойти ? в библиотеку library hook_splice_lib; (та, что перехватывает функции, код выше) дописать блокировку действий во всей системе и оповещения меня тому ,что она запретила ? насчет оповещения можно и пропустить т.к можно мониторить систему..

[Человек_Борща]

Цитата:

то вы имели в виду ?

То что написал, то и имею в виду. ловите процессы и внедряетесь в них. Об этом в той же статье написано.

Цитата:

И еще, тот пример , что я привел, может подойти ?

Минимум 2 метода вы должны использовать.

Цитата:

дописать блокировку действий во всей системе и оповещения меня тому ,что она запретила ?

Да.

Цитата:

насчет оповещения можно и пропустить т.к можно мониторить систему..

Нельзя.