"Neue Datei" / "Datei löschen" - Hook

**berens**

Hallo!

Kann mir irgendjemand einen Tip geben, wie ich es mit meinem Programm "mitbekomme", wenn irgendein Prozess (welcher?) eine Datei (welche?) erstellt (alternativ: zum Schreiben öffnet) bzw. löscht?

**Luckie**

Das geht sicher nur mit einem Dateisystemfiltertreiber.

**berens**

Hm, davon hab ich natürlich garkeine Ahnung. (Muss wohl Assembler ran?)
Hat jemand Ahnung davon, wie das gehen könnte?

**Luckie**

Mit Delphi gar nicht und mit Assembler hat das nichts zu tun. Was du brauchst ist das DDK von Microsoft und viel Ahnung, was du da tust.

**berens**

Also haken wir das erstmal ab

Gibt es irgendein Programm/"Treiber" das sowas Protokolliert (Virenscanner o.ä.)

**Luckie**

Von Sysinternal gibt es ein entprechendes Programm. Aber ob da eine Protokolldatei schreiben kann, weiß ich nicht. Wozu brauchst du denn das?

**berens**

Nun, es kann helfen Computerprobleme zu lösen und neuartige Viren zu identifizieren.

Ich habe z.B. atm einen PC, bei dem ständig eine Datei verschwindet, die ich für Windows (XP Pro!) über Zugriffsberechtigungen als nicht änder/schreibbar für "Jeder" markiert habe. Mich würde mal interessieren, wie die trotzdem dauernd wieder verschwinden kann.

Ausserdem kannst du z.B. bei einem Virus der mehrere Kopien von sich macht nachvollziehen, was das ursprüngliche Programm war. Beispiel:

Outlook.exe
-->ILoveYou.exe
---->svchost.exe
---->Paint32.exe
------>Paint64.exe
---->VirenBackup.exe
------>Paint32.exe
-------->Paint64.exe

So kannst du sehen, wenn du die Datei Paint32 löschst (weil du vermutest, dass dies ein Virus ist), und diese immer wieder neu erscheint, welches Programm immer wieder diese Datei neu erstellt. Hier also z.B. VirenBackup.exe. Und dann kannst du auch alle anderen Dateien per Hand löschen, die von dem selben Ursprungsprozess erzeugt wurden + Originalprogramm. Natürlich nur bis zu einer gewissen Ebene, da Explorer.exe, FireFox.exe, Outlook.exe etc. natürlich nicht gelöscht werden sollen...

Virenscanner ist aktuell, findet aber nichts. Dieses spezielle Thema ist aber in einem anderen Forum besser aufgehoben

**StefanG**

Wieso soll das nur mit einem Treiber funktionieren? Ein Hook auf die entsprechenden API Funktion sollte es doch auch tun.

**berens**

Ja, jetzt ist nur meine Frage: Welche API ist das?

**sirius**

Ich würde ja auf Createfile tippen

"Neue Datei" / "Datei löschen" - Hook

"Neue Datei" / "Datei löschen" - Hook

Re: "Neue Datei" / "Datei löschen" - Hoo

Re: "Neue Datei" / "Datei löschen" - Hoo

Re: "Neue Datei" / "Datei löschen" - Hoo

Re: "Neue Datei" / "Datei löschen" - Hoo

Re: "Neue Datei" / "Datei löschen" - Hoo

Re: "Neue Datei" / "Datei löschen" - Hoo

Re: "Neue Datei" / "Datei löschen" - Hoo

Re: "Neue Datei" / "Datei löschen" - Hoo

Re: "Neue Datei" / "Datei löschen" - Hoo

Forumregeln

berens Registriert seit: 3. Sep 2004 431 Beiträge Delphi 2010 Professional	#1 "Neue Datei" / "Datei löschen" - Hook 10. Mär 2007, 11:49 Hallo! Kann mir irgendjemand einen Tip geben, wie ich es mit meinem Programm "mitbekomme", wenn irgendein Prozess (welcher?) eine Datei (welche?) erstellt (alternativ: zum Schreiben öffnet) bzw. löscht?
	Zitat

Luckie Registriert seit: 29. Mai 2002 37.621 Beiträge Delphi 2006 Professional	#2 Re: "Neue Datei" / "Datei löschen" - Hoo 10. Mär 2007, 11:51 Das geht sicher nur mit einem Dateisystemfiltertreiber. Michael Ein Teil meines Codes würde euch verunsichern.
	Zitat

berens Registriert seit: 3. Sep 2004 431 Beiträge Delphi 2010 Professional	#3 Re: "Neue Datei" / "Datei löschen" - Hoo 10. Mär 2007, 11:54 Hm, davon hab ich natürlich garkeine Ahnung. (Muss wohl Assembler ran?) Hat jemand Ahnung davon, wie das gehen könnte?
	Zitat

Luckie Registriert seit: 29. Mai 2002 37.621 Beiträge Delphi 2006 Professional	#4 Re: "Neue Datei" / "Datei löschen" - Hoo 10. Mär 2007, 11:58 Mit Delphi gar nicht und mit Assembler hat das nichts zu tun. Was du brauchst ist das DDK von Microsoft und viel Ahnung, was du da tust. Michael Ein Teil meines Codes würde euch verunsichern.
	Zitat

berens Registriert seit: 3. Sep 2004 431 Beiträge Delphi 2010 Professional	#5 Re: "Neue Datei" / "Datei löschen" - Hoo 10. Mär 2007, 12:02 Also haken wir das erstmal ab Gibt es irgendein Programm/"Treiber" das sowas Protokolliert (Virenscanner o.ä.)
	Zitat

Luckie Registriert seit: 29. Mai 2002 37.621 Beiträge Delphi 2006 Professional	#6 Re: "Neue Datei" / "Datei löschen" - Hoo 10. Mär 2007, 12:11 Von Sysinternal gibt es ein entprechendes Programm. Aber ob da eine Protokolldatei schreiben kann, weiß ich nicht. Wozu brauchst du denn das? Michael Ein Teil meines Codes würde euch verunsichern.
	Zitat

StefanG Registriert seit: 23. Feb 2006 74 Beiträge	#8 Re: "Neue Datei" / "Datei löschen" - Hoo 14. Mär 2007, 10:09 Wieso soll das nur mit einem Treiber funktionieren? Ein Hook auf die entsprechenden API Funktion sollte es doch auch tun.
	Zitat

berens Registriert seit: 3. Sep 2004 431 Beiträge Delphi 2010 Professional	#9 Re: "Neue Datei" / "Datei löschen" - Hoo 14. Mär 2007, 10:11 Ja, jetzt ist nur meine Frage: Welche API ist das?
	Zitat

sirius Registriert seit: 3. Jan 2007 Ort: Dresden 3.443 Beiträge Delphi 7 Enterprise	#10 Re: "Neue Datei" / "Datei löschen" - Hoo 14. Mär 2007, 10:12 Ich würde ja auf Createfile tippen Dieser Beitrag ist für Jugendliche unter 18 Jahren nicht geeignet.
	Zitat