Zitat von
NicoDE:
Zitat von
Metal_Snake2:
Reichen SSDT-Hooks(
API der NTOSKRNL.EXE: ZwCreateFile(wäre ZwCreateSection mit dem enstprechenden flag nicht besser?), ZwSetInformationFile, ZwDeleteFile) oder lieber mit einem Kernel-Mode Dateisystem Treiber so wie Filemon von SysInternals.
Über den ersten Lösungsansatz würde ich gar nicht erst nachdenken.
Wiso? Würde es die Performance des Systems verschlingen, da Dienste wie ZwCreateFile auch für I/O Oberationen wie Devices benutze werden und somit sehr oft angewendet werden?
Jedenfalls hab ich mir schonmal das buch "O'Reilly - Windows NT File System Internals, A Developer's Guide"