오전 1:02 2004-07-29
조경민 bro (bro@shinbiro.com)
파일 변경 모니터링
==================================================
- Win32 API를 활용
FindFirstChangeNotification 를 사용하면 해당 디렉토리에서
어떤 일이 일어났는지 알 수 있다. (파일명은 알 수 없음 )
ReadDirectoryChanges 를 사용하면 해당 디렉토리에서 변경이
일어난 상황을 얻을 수 있다. (파일명도 얻을 수 있음 )
Win32 API를 이용하면 해당 I/O를 cancel 할 수 없다.
- API Hooking 활용
File I/O를 후킹한다.
후킹을 하면 해당 I/O를 User단에서 cancel할 수 있다.
참조
http://neri.cafe24.com/menu/bbs/view.php?id=kb&page=1&sn1=&divpage=1&categor
y=4&sn=off&ss=on&sc=on&select_arrange=headnum&desc=asc&no=219
- File Filter DeviceDriver를 활용
http://www.sysinternals.com의 filemon 소스를 활용한다.
디바이스 드라이버로 하면 해당 I/O를 kernel단에서 cancel할 수 있다.
조경민 bro (bro@shinbiro.com)
파일 변경 모니터링
==================================================
- Win32 API를 활용
FindFirstChangeNotification 를 사용하면 해당 디렉토리에서
어떤 일이 일어났는지 알 수 있다. (파일명은 알 수 없음 )
ReadDirectoryChanges 를 사용하면 해당 디렉토리에서 변경이
일어난 상황을 얻을 수 있다. (파일명도 얻을 수 있음 )
Win32 API를 이용하면 해당 I/O를 cancel 할 수 없다.
- API Hooking 활용
File I/O를 후킹한다.
후킹을 하면 해당 I/O를 User단에서 cancel할 수 있다.
참조
http://neri.cafe24.com/menu/bbs/view.php?id=kb&page=1&sn1=&divpage=1&categor
y=4&sn=off&ss=on&sc=on&select_arrange=headnum&desc=asc&no=219
- File Filter DeviceDriver를 활용
http://www.sysinternals.com의 filemon 소스를 활용한다.
디바이스 드라이버로 하면 해당 I/O를 kernel단에서 cancel할 수 있다.
'KB > Win32/x86' 카테고리의 다른 글
| inject DLL ( 코드 삽입법 ) (0) | 2005.04.01 |
|---|---|
| minios 세미나.. (0) | 2004.11.04 |
| Implementation FAT File System (0) | 2004.05.31 |
| MBR/ 파티션 부트섹터 읽기 (0) | 2004.05.29 |
| mini os 세미나 ppt (0) | 2004.05.08 |