Hook SHFileOperation实现文件监控

最新推荐文章于 2016-08-03 12:54:05 发布
最新推荐文章于 2016-08-03 12:54:05 发布
阅读量4.6k 收藏 5
点赞数 2
分类专栏: C++ 文章标签: hook winapi microsoft dll thread windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xugangjava/article/details/6750536
版权

转载注明出处

http://blog.csdn.net/xugangjava/article/details/6750536

比较简单直接源代码加注释

// dllmain.cpp : DllMain 的实现。
CFileWatchDllModule _AtlModule;

//保存原函数的地址,对于不需要保护的程序,调用原函数
PVOID g_pOldSHFileOperationW=NULL;
PVOID g_pOldSHFileOperationA=NULL;


//  SHFileOperation 函数 win7以前系统删除文件均通过该函数
typedef int (WINAPI *PfuncOldSHFileOperationA)(LPSHFILEOPSTRUCTA lpFileOp);
typedef int (WINAPI *PfuncOldSHFileOperationW)(LPSHFILEOPSTRUCTW lpFileOp);


// 需要挂钩的程序
int WINAPI ZwNewSHFileOperationA(LPSHFILEOPSTRUCTA lpFileOp);
int WINAPI ZwNewSHFileOperationW(LPSHFILEOPSTRUCTW lpFileOp);



int WINAPI ZwNewSHFileOperationW(LPSHFILEOPSTRUCTW lpFileOp)
{
        //自己的拦截逻辑,直接拦截返回false ,否则返回原函数调用
return ((PfuncOldSHFileOperationW)g_pOldSHFileOperationW)(lpFileOp);//不是需要保护的文件 放行
}



int WINAPI ZwNewSHFileOperationA(LPSHFILEOPSTRUCTA lpFileOp)
{
        //自己的拦截逻辑,直接拦截返回false ,否则返回原函数调用
return ((PfuncOldSHFileOperationA)g_pOldSHFileOperationA)(lpFileOp);
}

//安装Hook
BOOL WINAPI SetHookOnSHFileOperation()
{
DetourTransactionBegin();
DetourUpdateThread(GetCurrentThread());//得到当前线程
g_pOldSHFileOperationW=DetourFindFunction("shell32.dll","SHFileOperationW");//查询函数地址
g_pOldSHFileOperationA=DetourFindFunction("shell32.dll","SHFileOperationA");
DetourAttach(&g_pOldSHFileOperationW, ZwNewSHFileOperationW);//挂钩函数
DetourAttach(&g_pOldSHFileOperationA, ZwNewSHFileOperationA);
LONG ret=DetourTransactionCommit();//提交更改
return ret==NO_ERROR;
}

//卸载Hook
BOOL WINAPI DropHookOnSHFileOperation()
{
DetourTransactionBegin();
DetourUpdateThread(GetCurrentThread());
DetourDetach(&g_pOldSHFileOperationW, ZwNewSHFileOperationW);
DetourDetach(&g_pOldSHFileOperationA, ZwNewSHFileOperationA);
LONG ret=DetourTransactionCommit();
return ret==NO_ERROR;
}


static HMODULE s_hDll;

HMODULE WINAPI Detoured()
{
return s_hDll;
}


// DLL 入口点
extern "C" BOOL WINAPI DllMain(HINSTANCE hInstance, DWORD dwReason, LPVOID lpReserved)
{
(void)lpReserved;
switch(dwReason) 
{
case DLL_PROCESS_ATTACH:
s_hDll = hInstance;
DisableThreadLibraryCalls(hInstance);
SetHookOnSHFileOperation();//HOOK
break;
case DLL_THREAD_ATTACH:
break;
case DLL_PROCESS_DETACH:
DropHookOnSHFileOperation();//UNHOOK
break;
case DLL_THREAD_DETACH:
break;
}
return _AtlModule.DllMain(dwReason, lpReserved); 
}




下面以2003的服务器来实验

将原程序编译为dll文件 我的编译出来是FileWatchDll.dll

cmd 运行regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

AppInit_DLLs=改为(dll文件所在路径)\FileWatchDll.dll,所有进程加载时预先加载这个dll


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 

LoadAppInit_DLLs=1  是否(1/0)加载AppInit_DLLs中设置的dll



重新器动后,当删除受监控的文件时弹出警告框,然后无法删除该文件


(在2003更高版本中用这种方法会蓝屏的,因为文件操作的方法改为了com里面的方法)


附源代码:

http://download.csdn.net/detail/xugangjava/4047216


xugangjava
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
SHFileOperation函数
jjchao的专栏
12-15 648
Windowsshellapi文件中定义了一个名为SHFileOperation()的外壳函数,用它可以实现各种文件操作,如文件的拷贝、删除、移动等,该函数使用起来非常简单,它只有一个指向SHFILEOPSTRUCT结构的参数。使用SHFileOperation()函数时只要填写该专用结构--SHFILEOPSTRUCT,告诉Windows执行什么样的操作,以及其它重要信息就行了。SHFile
c++钩子技术实现文件监控
01-24
利用钩子技术实现特定文件的增删改的监控,隐式调用钩子
如何分析解决COM接口IFileOperationhook去支持vista、win7、win8、win10 x86 x64系统
浪子_三少(邮箱:basketwill@qq.com)
08-03 4065
怎么进行COM接口IFileOperation hook我就不讲了,下面这个链接有讲解, http://blog.csdn.net/wzsy/article/details/17665311 ; 他的hook方法我实验了可用于win8、win10,包括x64位系统,但是他这个有个缺点是在获取源复制文件路径信息的时候,只适用于win7,不适用于win8、win10. 上面那个文章用的是
监视资源管理器的文件复制/删除/移动操作,不要太过寄望于Hook SHFileOperation
coolslob
04-11 3539
google了一圈,发现Hook Explorer的SHFileOperation没几个成功的,如果想监视Explorer的文件复制/删除/移动操作,应该Hook CopyFileExA/CopyFileExW, MoveFileA/MoveFileW。  
APIHook钩子文件监控 监控指定目录下文件的读写和修改.zip
03-28
APIHook文件监控 监控指定目录下文件的读写和修改.zip
SHFileOperation操作
梁中林 的专栏
09-09 1166
SHFileOperation操作 源文件名支持多个文件,以/0间隔,所以末尾要用两个零结束 WINCE下,用EVC
HOOK监视文件变化
10-05
文件 监视 hook 监视文件的变化 希望有用 ~~~~
C++使用hookapi监控文件操作程序
01-07
工程中包含一个监控文件dll工程,和一个调用此dll测试文件监控的工程,可监控文件添加删除重命名移动等。
API_HOOK监控删除和移动带有某字样的文件.rar
04-21
总结来说,"API_HOOK监控删除和移动带有某字样的文件.rar"是一个关于使用API Hook技术监控文件操作的实例,它通过拦截关键的文件操作API,实现对特定文件的保护和行为追踪。理解和掌握API Hook的原理与应用,对于...
利用Hook技术实现键盘监控
02-10
### 利用Hook技术实现键盘监控 #### 一、Hook(钩子)的实现: **Hook** 技术是微软Windows操作系统中一个非常强大的功能,它允许开发者在系统级别捕获特定类型的事件或消息,例如键盘输入、鼠标移动等。通过使用...
易语言使用APIhook进行拦截文件读写
09-02
易语言使用APIhook进行拦截文件读写,拦截文件读写,使用apihook
利用API hook拦截技术监视文件操作.pdf
02-23
介绍了API拦截(API Hook)技术及其应用领域,并在此基础上,详细说明了利 用陷阱式API HOOK技术实现文件操作监视的原理和实现方法
HOOK API实例
08-22
HOOK API VC C++ HOOK VC C++ HOOK
VB拦截windows删除文件(API HOOK
11-07
VB拦截Windows Explorer删除进程,内含API HOOK,源代码:倒霉蛋儿,程序有时候也会窗口勾挂失败!   勾住了SHFileOperation等函数,DLL用Delphi写的C会的太少,查了半天才知道原来explorer是用SHFileOperation删除文件,经过测试很稳定,没有出现崩溃的情况,由于只勾住了SHFileOperation函数,所以别的程序要是调用DeleteFile删除文件,拦截不到,要是想拦截DeleteFile自己接着写吧。      mod_Inject.bas类的注释摘录:   Dim MyAddr As Long ‘执行远程线程代码的起始地址。这里等于LoadLibraryA的地址   ‘dll文件路径   MyDllFileLength = LenB(StrConv(MyDllFileName, vbFromUnicode)) + 1    ‘这里把dll文件名从Unicode转换成Ansi,否则英文字母是2个字节。 _   顺便说一下,学过C的应该知道字符串要以/0标志结尾,所以dll文件名长度要加上1个字节存放Chr(0)   ‘得到进程的句柄   在目标进程中申请分配一块空白内存区域。内存的起始地址保存在MyDllFileBuffer中。 _   这块内存区域我们用来存放dll文件路径,并作为参数传递给LoadLibraryA。   在分配出来的内存区域中写入dll路径径。注意第二个参数传递的是MyDllFileBuffer的内容, _   而不是MyDllFileBuffer的内存地址?   If MyReturn = 0 Then Inject = False   MyAddr = GetProcAddress(GetModuleHandle("Kernel32"), "LoadLibraryA")   ‘得到LoadLibraryA函数的起始地址。他的参数就是我们刚才写入的dll路径。但是LoadLibraryA本身是不知道参数在哪里的。 _   接下来我们就用CreateRemoteThread函数告诉他参数放在哪里了? If MyAddr = 0 Then Inject = False   MyResult = CreateRemoteThread(ProcessHandle, 0, 0, MyAddr, MyDllFileBuffer, 0, 0)   好了,现在用CreateRemoteThread在目标进程创建一个线程,线程起始地址指向LoadLibraryA, _   参数就是MyDllFileBuffer中保存的dll路径?    If MyResult = 0 Then    Inject = False    Else    Inject = True    End If    ‘接下来你可以使用WaitForSingleObject等待线程执行完毕。 _    并用GetExitCodeThread得到线程的退出代码,用来判断时候正确执行了dll中的代码。    CloseHandle MyResult    CloseHandle ProcessHandle    ‘扫地工作   End Function
用Apihook实现的打印监控
05-23
本主题将深入探讨如何利用ApiHook实现打印监控,特别是通过拦截`startDoc`函数。 一、API Hook概述 API Hook是编程中的一个技术,它允许程序员插入自定义代码到特定API的调用流程中,以便在调用前后执行额外的...
Hook技术监控文件复制
04-11
综上所述,Hook技术是实现文件复制监控的一种有效手段,通过安装钩子、编写钩子函数以及结合文件系统监视API,可以实现在用户复制文件时进行实时响应。在实际应用中,需要权衡功能实现与系统性能之间的平衡,确保...
FILE_HOOK_TEST.zip_VC 文件监控文件_factoryu8z_hook_hook test_文件监控
最新发布
09-24
"FILE_HOOK_TEST.zip_VC 文件监控文件_factoryu8z_hook_hook test_文件监控"这个压缩包文件显然是一个专门用于Windows系统的文件操作监控工具。让我们深入探讨一下其中涉及的关键知识点。 1. **VC(Visual C++)*...
关于文件读写的监控, 通过APIHOOK实现
胡杨林
12-18 6939
有的时候,我们需要对程序读写文件的时候进行监控,尤其是文件的数据是保密的,而且不能直接存储在磁盘上。举个最简单的例子来说,当我们有个文件在磁盘上,而这个文件是加密的,这时候在程序打开文件的时候,通过输入密钥进行解密了,但是这些解密了的数据,是不能写回磁盘的,只能放在RAM中,这时候如果程序想通过正常的文件操作来访问数据的话,那么这就需要我们来对这个文件操作的API下钩子函数了。
文件关闭
midie的专栏
05-08 346
文件关闭刷新视图其实在ondraw中加一个变量选择的显示就好了这慢得实在让人受不了打开是件很困难的事
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值