来源:小编 更新:2025-01-09 22:07:09
用手机看
亲爱的读者们,你是否曾想过,你的电脑里那些看似平凡的文件,其实都在默默地进行着一场“大戏”?没错,我说的就是——Windows文件系统监控。今天,就让我带你一起揭开这神秘的面纱,看看Windows是如何守护你的文件安全的。
在Windows的世界里,要实现文件监控,主要有三大法宝:虚拟文件系统驱动、HOOK API和消息机制。其中,消息机制又细分为三种方法:SHChangeNotifyRegister、FindFirstChangeNotification和ReadDirectoryChangesW。
1. 虚拟文件系统驱动:这种方法的代表是Windows下的filemon,它通过模拟文件系统,实现对文件操作的实时监控。不过,这种方法较为复杂,需要一定的技术功底。
2. HOOK API:钩子技术,顾名思义,就是通过拦截系统API调用,实现对文件操作的监控。这种方法相对简单,但只能监控到文件操作完成后的结果。
3. 消息机制:从Windows的文件通知消息获取系统的文件操作。其中,SHChangeNotifyRegister是其中一种方法,它可以将指定的窗口添加到系统的消息监视链中,从而接收到来自文件系统或Shell的通知。
二、SHChangeNotifyRegister:文件监控的“隐形守护者”
在三大法宝中,SHChangeNotifyRegister可谓是文件监控的“隐形守护者”。它隐藏在Shell32.dll中,用序号方式导出,因此在使用Depends工具查看Shell32.dll时,很难找到它。
SHChangeNotifyRegister的原型和相关参数如下:
```c++
ULONG SHChangeNotifyRegister(
HWND hwnd,
int fSources,
LONG fEvents,
UINT wMsg,
Int cEntries,
SHChangeNotifyEntry pfsne
其中:
- `hwnd`:将要接收改变或通知消息的窗口的句柄。
- `fSources`:指示接收消息的事件类型。
- `fEvents`:指定要监视的事件。
- `wMsg`:自定义消息。
- `cEntries`:`SHChangeNotifyEntry`结构体的数量。
- `pfsne`:指向`SHChangeNotifyEntry`结构体的指针。
通过调用SHChangeNotifyRegister,你的程序就能接收到来自文件系统或Shell的通知,从而实现对文件操作的实时监控。
除了SHChangeNotifyRegister,还有一款名为Process Monitor的强大工具,可以帮助我们更好地进行文件监控。
Process Monitor是由Sysinternals公司开发的,它结合了Filemon和Regmon的功能,并添加了丰富的过滤功能。它能够实时显示文件系统、注册表、进程/线程的活动,并记录到一个文件中。
Process Monitor的强大之处在于:
1. 捕获操作的输入和输出参数的更多数据。
2. 非破坏性过滤器,允许您设置过滤器而不会丢失数据。
3. 捕获每个操作的线程堆栈,有助于找出操作的根源。
4. 可靠捕获进程的详细信息,包括映像路径、命令行、用户和会话ID。
5. 可配置和可移动列,方便您查看所需信息。
Process Monitor在系统故障排除和恶意软件检测中发挥着重要作用。
对于安全产品开发者来说,内核级文件访问是文件监控的“终极武器”。它可以直接访问FSD(FileSystemDriver)层,从而绕过那些native API和win32 API,实现对文件操作的实时监控。
内核级文件访问在信息安全领域有广泛的应用,既可以用于入侵者绕过安全保护系统,也可以用于检测者查杀隐藏的后门或rootkit,还可以用于监控者了解最新的绕过监控技术。
除了上述方法,Windows审核也是文件监控的重要手段。通过分析Windows安全和系统事件,Windows审核可以确定改进安全管理,减少未经授权访问和不需要对系统进行更改的步骤。
Windows审核策略定义了要记录的特定事件以及每个事件的特定行为记录什么。例如,您可以记录对Windows计算机的任何远程访问,但不需要对来自公司内部某人的登录尝试进行审核。
Windows文件系统监控是一个复杂而重要的领域。通过了解各种监控方法,我们可以更好地保护我们的文件安全。希望这篇文章能帮助你更好地了解Windows文件系统监控,让你的电脑更加安全可靠!
