Мониторинг файлов в папке

@tarelka95 · Регистрация: 10.07.2014

Author24 — интернет-сервис помощи студентам

Хотел отследить, к какому файлу из папки обращается программа (при разных условиях, обращается к разным файлам в одной папке) и собственно выводило об этом инфу.
Первое что попробовал, это было: "ReadDirectoryChangesW". Вроде бы классно, выводит файл из выбранной папки, в котором был изменен атрибут/имя/размер/дата, учитывая вложенные папки
Но после тестов, оказалось, что при открытии данных файлов программой, время последнего доступа на файле не изменяется. А значит, что данная функция не подходит, для этой задачи.

При помощи procmon выяснил, что программа обращается к файлу, по функциям "CreateFile", "QueryBasicInformationFile", "CloseFile", "ReadFile".
Есть ли возможность как то отследить подобное обращение к файлу, но зная только папку в котором произойдет данное обращение?

@Alligieri · 02.07.2018, 23:36

tarelka95, советовал бы использовать глобальный HOOK на файловую систему, много полезного про хуки есть на cyberguru (WIN32 API. HOOKS (ХУКИ))

@tarelka95 · 03.07.2018, 22:11 **[ТС]**

Alligieri, глобальный хук на файловую систему найти не удалось, что подразумевается под файловой системой?

Нашел только локальный хук(встраивание dll) на CreateFile:

Кликните здесь для просмотра всего текста

C

#include <windows.h>
#include <Dbghelp.h>
#include <fstream>
 
HANDLE hCreateFile(LPCTSTR, DWORD, DWORD, LPSECURITY_ATTRIBUTES, DWORD, DWORD, HANDLE);
HANDLE htstCreateFile(LPCTSTR, DWORD, DWORD, LPSECURITY_ATTRIBUTES, DWORD, DWORD, HANDLE);
 
PVOID HookImportedFunction(const char *Dll, const char *FuncName, void *Function);
DWORD HookGeneralFunction(const char *Dll, const char *FuncName, void *Function, unsigned char *backup);
void NumOut(char *format, ...);
 
DWORD createFileAddr=0;
BYTE backup[6];
ofstream fout("C:\\dll.txt");
 
BOOL APIENTRY DllMain( HMODULE hModule, DWORD  fwReason, LPVOID lpReserved)
{
 
    switch (fwReason)
    {
        case DLL_PROCESS_ATTACH:
            {   
                DisableThreadLibraryCalls(hModule); //keeps it from being re-called
                fout << "In DLL process Attach" << endl;
                //HookImportedFunction("Kernel32.dll", "CreateFileA", hCreateFile);
                createFileAddr = HookGeneralFunction("Kernel32.dll", "CreateFileA", hCreateFile, backup);
                return true;
 
            }
            break;
        case DLL_THREAD_ATTACH:
            fout << "In DLL thread Attach" << endl;
            break;
        case DLL_THREAD_DETACH:
            fout << "In DLL thread detach" << endl;
            fout.close();
            break;
        case DLL_PROCESS_DETACH:
            {
                fout << "In DLL Process Detach" << endl;
 
                if(createFileAddr)
                    WriteProcessMemory(GetCurrentProcess(), (void*)createFileAddr, backup, 6, 0);
 
                fout.close();
                return true;
 
            }
            break;
    }
    return false;
}
 
HANDLE hCreateFile(LPCTSTR lpFileName, DWORD dwDesiredAccess, DWORD dwShareMode, LPSECURITY_ATTRIBUTES lpSecurityAttributes, DWORD dwCreationDisposition, DWORD dwFlagsAndAttributes, HANDLE hTemplateFile)
{
 
    fout << "Function call to CreateFileA and lpFilename is " << lpFileName << endl;
    
    HANDLE fHandle = CreateFile(lpFileName, dwDesiredAccess, dwShareMode, lpSecurityAttributes, dwCreationDisposition, dwFlagsAndAttributes, hTemplateFile);
 
    fout << "The File handle is " << fHandle << endl;
 
    return fHandle;
}
 
 
 
HANDLE htstCreateFile(LPCTSTR lpFileName, DWORD dwDesiredAccess, DWORD dwShareMode, LPSECURITY_ATTRIBUTES lpSecurityAttributes, DWORD dwCreationDisposition, DWORD dwFlagsAndAttributes, HANDLE hTemplateFile)
{
    
    //restore the bytes at MessageBox
    WriteProcessMemory(GetCurrentProcess(), (void*)createFileAddr, backup, 6, 0);
    
    //use the true msgbox
    //MessageBox(0, "Incoming Text", "HOOKED hihi!", 0);
    HANDLE ret = CreateFile(lpFileName, dwDesiredAccess, dwShareMode, lpSecurityAttributes, dwCreationDisposition, dwFlagsAndAttributes, hTemplateFile);
 
    //restore the hook
    createFileAddr = HookGeneralFunction("kernel32.dll", "CreateFileA", htstCreateFile, backup);
    return ret;
}

Dragokas · 10.07.2018, 21:21

tarelka95, вам это задача на один раз? Не обязательно из-под своего приложения?

Если да, то есть ведь API мониторы, или можно включить фиксацию времени последнего доступа к файлу:

Windows Batch file

1	FSUTIL behavior set disablelastaccess 0

@tarelka95 · 14.07.2018, 12:45 **[ТС]**

Dragokas, Как понять на один раз? Один раз я посмотреть в procmon могу. Мне сойдет и winapi(если он это умеет), или чья-то чужеродная бесплатная библиотека.
Если чужое приложение умеет отсылать инфу в мое приложение почему бы и нет

.

С вашей командой(Batch), "ReadDirectoryChangesW" вроде иногда отрабатывает, но не всегда, пока пытаюсь понять в какой вариации не ловит.

Dragokas · 14.07.2018, 15:50

Создайте удалённый поток для приложения-цели с кодом вашего хука и пусть передаёт вам информацию.

@GoodWeather · 11.08.2018, 17:37

https://yandex.ru/search/?text... ryChangesW

@tarelka95 0 / 0 / 0 Регистрация: 10.07.2014 Сообщений: 18
		1
	Мониторинг файлов в папке 01.07.2018, 09:55. Показов 3026. Ответов 6 Метки нет (Все метки) Хотел отследить, к какому файлу из папки обращается программа (при разных условиях, обращается к разным файлам в одной папке) и собственно выводило об этом инфу. Первое что попробовал, это было: "ReadDirectoryChangesW". Вроде бы классно, выводит файл из выбранной папки, в котором был изменен атрибут/имя/размер/дата, учитывая вложенные папки Но после тестов, оказалось, что при открытии данных файлов программой, время последнего доступа на файле не изменяется. А значит, что данная функция не подходит, для этой задачи. При помощи procmon выяснил, что программа обращается к файлу, по функциям "CreateFile", "QueryBasicInformationFile", "CloseFile", "ReadFile". Есть ли возможность как то отследить подобное обращение к файлу, но зная только папку в котором произойдет данное обращение? 0

@Alligieri CEO 2258 / 1248 / 57 Регистрация: 16.03.2009 Сообщений: 3,588
	02.07.2018, 23:36	2
	tarelka95, советовал бы использовать глобальный HOOK на файловую систему, много полезного про хуки есть на cyberguru (WIN32 API. HOOKS (ХУКИ)) 0

@tarelka95 0 / 0 / 0 Регистрация: 10.07.2014 Сообщений: 18
	14.07.2018, 12:45 [ТС]	5
	Dragokas, Как понять на один раз? Один раз я посмотреть в procmon могу. Мне сойдет и winapi(если он это умеет), или чья-то чужеродная бесплатная библиотека. Если чужое приложение умеет отсылать инфу в мое приложение почему бы и нет . С вашей командой(Batch), "ReadDirectoryChangesW" вроде иногда отрабатывает, но не всегда, пока пытаюсь понять в какой вариации не ловит. 0

Dragokas 18012 / 7713 / 892 Регистрация: 25.12.2011 Сообщений: 11,496 Записей в блоге: 16
	14.07.2018, 15:50	6
	Создайте удалённый поток для приложения-цели с кодом вашего хука и пусть передаёт вам информацию. 0

@GoodWeather 886 / 588 / 179 Регистрация: 28.02.2017 Сообщений: 2,359 Записей в блоге: 1
	11.08.2018, 17:37	7
	https://yandex.ru/search/?text... ryChangesW 0

Мониторинг файлов в папке

Решение