Отлов удаления файлов в Windows

[Fanliss]

Здравствуйте народ!
При удалении файла в виндовс вылазиет окошко для подтверждения удаления "Вы уверены, что хотите удалить файл?". Мне нужно это окошко заменить своей формой. Возможно так же еще запретить удаление.

Всвязи с этим нужно как-то отлавливать сам процесс удаления.
У меня Wibdows XP SP3.
Пробовал делать хук на DeleteFile() и ShFileOperation(). Я в хуках не разбираюсь особо, но нашел как это делается:
http://forum.sources.ru/index.php?sh...5&view=showall

Так вот, если DeleteFile() или ShFileOperation() писать в своей программе, то они замечательно отлавливаются, но удаление файлов в эксплорере проходит на ура и хуки не работают.

Так вот вопрос: как поймать процесс или событие удаления файла в эксплорере?
Просто если DeleteFile() или ShFileOperation() не ловятся, может есть еще какие команды по удалению файлов?

есть такая штука ReadDirectoryChanges, которая следит за папкой, но это слишком локально. Так же в библиотеке компонентов RX есть RxFolderMonitor, но это тоже слежение за папкой и это не то.

[haruhi]

надо перехватывать NtDeleteFile из ntdll.dll. функции DeleteFile и ShFileOperation обращаются к ней

[Fanliss]

Почитал в инете, из ntdll.dll перехватывают с помощью сплайсинга API. Нашел как это делают:
http://ms-rem.narod.ru/hook/ApiHook1/apihook.htm
сделал аналогично подмену NtDeleteFile, но ничего не происходит. Файлы как удалялись так и удаляются.
Там на этом сайте есть пример перехвата MessageBox методом сплайсинга, он у меня тоже не работает, точнее ничего не происходит.
Может я делаю что не так? Или это как по-другому делается?

Хотелось бы какой-нибудь рабочий примерчик что ли или мой код посмотреть.

[yuran666666]

Есть довольно нелепое предположение, что NtDeleteFile вызывается уже несколько позже формы о подтверждении удаления файла, ну а вообще, она там не вызывается.

[rpy3uH]

в любом случае всё сводится к NtDeleteFile

[Пепел Феникса]

а вообще, никто не заметил что ТС нужно не перехват самого удаления, а именно перехватить форму?

[yuran666666]

Да нет там никакого NtDeleteFile. Приаттачтесь к эксплореру, поставьте бряк на данную функцию, да удалите что либо. Как там чего происходит разбираться лень, по крайней мере сегодня.

[rpy3uH]

посмотрел в отладчике что делает функция kernel32.DeleteFileW : NtOpenFile -> NtSetInformationFile

в данном случае лучший вариант это перехват NtOpenFile и запрет если файл хотят открыть с доступом на запись

[yuran666666]

Диалог удаления файлов в эксплорере вызывается функцией DialogBoxParamW, ресурсы диалога берутся из библиотеки shell32.dll номера диалогов в ресурсах, в ХР: 1011 -удаление файла,1012 - удаление папки, 1013 - удаление группы объектов
Можно проверять по строкам в ресурсах, вероятно данные идентификаторы могут разниться от версии shell32.
Собственно сам перехват тривиален - ставим перехват на вышеобозначенную DialogBoxParamW, проверяем хендл модуля с ресурсами, идентификатор ресурса, если наш клиент, то вызываем её в обработчике (или вызываем свою форму вместо данной, почистив параметры DialogBoxParamW) и изменяем/оставляем результат, он может быть двух видов как и у MessageBox с параметром MB_YESNO, то есть:
#define IDYES 6 ; был нажат баттон "Да"
#define IDNO 7 ; был нажат баттон "Нет"

[haruhi]

Цитата:

Сообщение от Пепел Феникса

а вообще, никто не заметил что ТС нужно не перехват самого удаления, а именно перехватить форму?

только что заметила. тупо как-то получилось.

а так всё намного проще становится, можно через стандартный механизм хуков (WH_CBT)