Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
Правильно посоветовали. 19.12.06 14:22 Число просмотров: 3520
Автор: amirul <Serge> Статус: The Elderman
|
> Пытаюсь написать что-то похожее на антивирусный монитор.
> Посоветовали для этой цели написать драйвер фильтр файловой
> системы.
Правильно посоветовали.
> По идее софтина должна состоять из двух частей: собственной
> драйвера и пользовательской части (приложение в ринг3). В
> связи с этим вопрос:
Правильный подход, на мой взгляд, использование ring3 только для взаимодействия с пользователем и применение конфигурации к драйверу. Все решения драйвер должен принимать сам на основе имеющейся конфигурации.
> Как обработать открываемый файл в пользовательском
> приложении? (или как добавить фильтр на сообщения
Казнить нельзя помиловать. "Как обработать файл, открываемый в пользовательском приложении" или "как в пользовательском приложении обработать открываемый файл".
> обрабатываемые моим драйвером, допустим по имени процесса
> открывающего файл?).
Получить имя процесса, сравнить с заданными фильтрами, в зависимости от результата вернуть ошибку либо переправить IRP ниже.
> Зы на данном этапе уродую исходники Руссиновича для FileMon
> 4.34.
Лушче DDK-шные
|
|
<programming>
|
Irp_mj_create и иже с ними - перехват сообщения и анализ открываемого файла 15.12.06 18:03
Автор: santa Статус: Незарегистрированный пользователь
|
Пытаюсь написать что-то похожее на антивирусный монитор. Посоветовали для этой цели написать драйвер фильтр файловой системы.
По идее софтина должна состоять из двух частей: собственной драйвера и пользовательской части (приложение в ринг3). В связи с этим вопрос:
Как обработать открываемый файл в пользовательском приложении? (или как добавить фильтр на сообщения обрабатываемые моим драйвером, допустим по имени процесса открывающего файл?).
Зы на данном этапе уродую исходники Руссиновича для FileMon 4.34.
|
|
Правильно посоветовали. 19.12.06 14:22
Автор: amirul <Serge> Статус: The Elderman
|
> Пытаюсь написать что-то похожее на антивирусный монитор.
> Посоветовали для этой цели написать драйвер фильтр файловой
> системы.
Правильно посоветовали.
> По идее софтина должна состоять из двух частей: собственной
> драйвера и пользовательской части (приложение в ринг3). В
> связи с этим вопрос:
Правильный подход, на мой взгляд, использование ring3 только для взаимодействия с пользователем и применение конфигурации к драйверу. Все решения драйвер должен принимать сам на основе имеющейся конфигурации.
> Как обработать открываемый файл в пользовательском
> приложении? (или как добавить фильтр на сообщения
Казнить нельзя помиловать. "Как обработать файл, открываемый в пользовательском приложении" или "как в пользовательском приложении обработать открываемый файл".
> обрабатываемые моим драйвером, допустим по имени процесса
> открывающего файл?).
Получить имя процесса, сравнить с заданными фильтрами, в зависимости от результата вернуть ошибку либо переправить IRP ниже.
> Зы на данном этапе уродую исходники Руссиновича для FileMon
> 4.34.
Лушче DDK-шные
|
|
Если пишешь под дотнет, то используй класс... 16.12.06 16:38
Автор: MadBinom Статус: Незарегистрированный пользователь
|
|
Если пишешь под дотнет, то используй класс FileSystemWatcher. Если Api - STFW(например как-то давно я ковырял исходники(с++) проги осуществляющей шифрование/lдешифрование файлов в папке при обращении к ним). А вообще, имхо, труднее написать сам антивирус, чем работа с файлами. Если ты напишешь антивирус осуществляющий только поиск по каким-то признаком - ты обречен на провал - женя касперский(и подобные) имеет больше ресурсов, чем ты. Поэтому надо работать в направлении эвристических алгоритмов - это вряд ли кто-то нормально сделал - задача нетривиальная. Вот тут и борись.
|
| |
На Сорцфордже лежит Файлмон - 18.12.06 09:47
Автор: Zef <Alloo Zef> Статус: Elderman
|
|
готовый фильтр файловой системы. Я его использовал в похожих задачах - перехват обращений к сетевым дискам. Если будут конкретные вопросы - спрашивай.
|
| | |
Вопросы есть))) 24.12.06 20:04
Автор: santa Статус: Незарегистрированный пользователь
|
> готовый фильтр файловой системы. Я его использовал в
> похожих задачах - перехват обращений к сетевым дискам. Если
> будут конкретные вопросы - спрашивай.
Вопросы есть)))
Нарыл исходники к Filemon 4.34 и никак не могу понять, какие параметры нужно передавать из пользовательского приложения драйверу при вызове DeviceIOControl() на установку пустого фильтра (для IOCTL_FILEMON_SETFILTER). В частности, что впихнуть в FilterDefinition?
|
| | |
В DDK лежат sfilter/filespy - тоже готовые фильтры 19.12.06 14:16
Автор: amirul <Serge> Статус: The Elderman
|
И как раз в качестве основы они лучше. Просто потому, что хотя бы вырезать лишнее не придется.
> готовый фильтр файловой системы. Я его использовал в
> похожих задачах - перехват обращений к сетевым дискам. Если
> будут конкретные вопросы - спрашивай.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
