Dateizugriff abfangen und umleiten
 

Hallo,

mich interessiert schon länger die Frage, wie ich Dateizugriffe von einem beliebigen laufenden Programm abfangen, und unter Umständen auf eine wonaders gespeicherte Datei umleiten könnte. Kann mir da jemand ein paar Tipps oder Ansätze geben? Ich vermute mal das man das auch mit einem Hook machen kann, oder?

Danke im Voraus!

Re: Dateizugriff abfangen und umleiten
 

Hallo Garland,

das Tool FileMon tut genau das und auf der Website von SysInternals kannst du Hinweise darauf finden, wie der Programmautor vorgegangen ist.

Grüße vom marabu

Re: Dateizugriff abfangen und umleiten
 

Oha, sieht ja wirklich ziemlich kompliziert und aufwendig aus. FileMon benutzt ja einen eigenen Treiber und so.
Schade, aber da werde ich wohl eher die Finger von lassen müssen.

Re: Dateizugriff abfangen und umleiten
 

Es sollte doch wohl reichen, wenn du die Funktionen zum öffnen der Dateien hookst?

Also CreateFileA und CreateFileW. (Ob es da jetzt noch was gibt weiß ich im Moment nicht, aber für die meißten Programme sollte es schon reichen)

Re: Dateizugriff abfangen und umleiten
 

Das Problem ist, dass ich mich mit Hooks kaum auskenne. Aber ich werde mich mal ein wenig umschauen.

Re: Dateizugriff abfangen und umleiten
 

Wenn du alles im Usermode hooken willst, wirst du um einen SSDT-Hook ala FileMon nicht herumkommen. Ich habe noch einen alten Source von FileMon, der ist allerdings wahrlich nicht mehr auf der Höhe der Zeit. Niemand hindert ein Programm daran ZwCreateFile statt CreateFile zu benutzen :zwinker: :mrgreen: