Мониторинг файловой стистемы

[stasa9711]

Всем доброго дня, у меня такой вопрос назрел, а как запретить действия в файловой системе чужой программе ?

к примеру : мне нужно, чтобы все действия в определенной папке напр: создание/чтение/удаление и т.д файлов отменялось , но при этом мне выводилось , что пыталось сделать программа.

Насчет того, что делает программа можно выяснить функцией ReadDirectoryChangesW буду мониторить файловую систему, но как мне запретить создавать/читать/ удалять и т.д в этой системе ? Подскажите пожалуйста

[Человек_Борща]

Ну варианта всего 2:
1. Написание драйвера ядра, который будет это тотально контролировать.
2. Написание системной библиотеки перехватывающей все файловые операции в отношении какого-то пути. В этом случае все равно вашу защиту смогут обойти если очень понадобится.

[stasa9711]

ммм, а есть ли какие-то примеры или статьи ?

[Человек_Борща]

Развлекайтесь.... http://habrahabr.ru/post/178393/ Если где-то и было что-то о хуках, то здесь описано чуть более чем полностью ВСЕ.
В вашей задаче перехват API нужен будет в 2х вариантах:
1. Ловлл статических библиотек
2. Экзотика. Мало ли динамически подгрузят

[stasa9711]

т.е в статье меня должно заинтересовать "8. Внедрение библиотеки через установку ловушки." и "9. Внедрение библиотеки через создание нити в удаленном процессе."

еще накопал, то вот эти процедуры
C:\Program Files\Borland\Delphi7\Demos\ActiveX \ShellExt\copyhook.dpr
C:\Program Files\Borland\Delphi7\Demos\ActiveX \ShellExt\CopyHk.pas

встроены в делфи и могут перехватывать файловые операции в проводнике. Есть у кого-то 7 делфи ? можете отправить мне эти файлы ? взглянуть хочется + знает кто то как их использовать ?

[саша40]

Цитата:

Сообщение от stasa9711

встроены в делфи и могут перехватывать файловые операции в проводнике. Есть у кого-то 7 делфи ? можете отправить мне эти файлы ? взглянуть хочется + знает кто то как их использовать ?

У меня есть. Вся папка архивом во вложение.

[Человек_Борща]

Цитата:

встроены в делфи и могут перехватывать файловые операции в проводнике.

Операции выполняемые пользователями. Т.е. программный доступ куда-то по прежнему открыт.

[stasa9711]

жаль, я уж обрадовался ... может кто то может тыкнуть носом в пример ? погуглил, заметил, что и другие юзеры задавались этим вопросом, но так и не пришли к ответу

[Человек_Борща]

Я вам целую статью дал по перехвату API. Там же и примеры. Да ещё и на Delphi!

[stasa9711]

дык там для для локального приложения функции , тобишь для своего ....

Насчет внедрения библиотеки через установку ловушки :

Код:

program hook_loader;
 
{$APPTYPE CONSOLE}
 
uses
  Windows;
 
var
  hLib: THandle;
  HookProcAddr: Pointer;
  HookHandle: HHOOK;
begin
  hLib := LoadLibrary('hook_splice_lib.dll');  // тут, я так понимаю, наша библиотека
  try
    HookProcAddr := GetProcAddress(hLib, 'HookProc');
    Writeln('MessageBoxA intercepted, press ENTER to resume...');
    HookHandle := SetWindowsHookEx(WH_GETMESSAGE, HookProcAddr, hLib, 0);
    Readln;
    UnhookWindowsHookEx(HookHandle);
  finally
    FreeLibrary(hLib);
  end;
end.

но где указать куда она должна внедрятся ? тобишь в какую программу ? + еще как я понял, она внедряется во все библиотеки программы , но как ей казать, что нужно делать? (в моем случаи нужно блокировать все действия с файловой системой) или это нужно указать в самой библиотеке hook_splice_lib ?
Разъясните пожалуйста если не трудно