Hallo!
Mir ist gerade langweilig, da fällt mir eine Frage ein:
Woher wissen Anti-Virenprogramme, auf welche Datei gerade lesend oder schreibend zugegriffen wird?
Ach ja und noch etwas: Gibt es einen anderen Weg als alle Laufwerke rekursiv durchzugehen, nur um zu wissen welche Dateien man so hat?
Mit anderen Worten: Kann man auf die MFT zugreifen ubnd diese auslesen?
MfG, AND51
Dateizugriffe erkennen
Dateizugriffe erkennen
PB 4.30
Code: Alles auswählen
Macro Happy
;-)
EndMacro
Happy End
Re: Dateizugriffe erkennen
> Mir ist gerade langweilig, da fällt mir eine Frage ein:
ist das hier eine ABM?
> Woher wissen Anti-Virenprogramme, auf welche Datei gerade
> lesend oder schreibend zugegriffen wird?
Beispielsweise mit ReadDirectoryChangesW:
http://www.purebasic.fr/english/viewtop ... c&start=17
Grüße ... Kiffi
ist das hier eine ABM?
> Woher wissen Anti-Virenprogramme, auf welche Datei gerade
> lesend oder schreibend zugegriffen wird?
Beispielsweise mit ReadDirectoryChangesW:
http://www.purebasic.fr/english/viewtop ... c&start=17
Grüße ... Kiffi
a²+b²=mc²
ABM?
Das ist halt so eine Frage, die mir spontan einfällt; natürlich werde ich nicht jede solche Frage stellen. Dazu ist die Laberecke doch da?
@Code: Qerde ich mir mal anschauen! Experimentiere nämlich gerade mit meiner Festplatte
Das ist halt so eine Frage, die mir spontan einfällt; natürlich werde ich nicht jede solche Frage stellen. Dazu ist die Laberecke doch da?
@Code: Qerde ich mir mal anschauen! Experimentiere nämlich gerade mit meiner Festplatte
PB 4.30
Code: Alles auswählen
Macro Happy
;-)
EndMacro
Happy End
>>Woher wissen Anti-Virenprogramme, auf welche Datei gerade lesend oder schreibend zugegriffen wird?
Eigendlich wissen es die Antivirenprogramme sogar schon, bevor lesend oder schreibend
auf die Datei zugegriffen wird.
Also, wenn die Datei geöffnet wird.
Und da tippe ich auf einen API-Hook oder spezielle Treiber um die zugriffe abzufangen.
Ist die Datei dann überprüft und alles ist OK wird an die "richtige" Funktion weitergegeben.
€dit:
In der Wikipedia steht dazu:
Eigendlich wissen es die Antivirenprogramme sogar schon, bevor lesend oder schreibend
auf die Datei zugegriffen wird.
Also, wenn die Datei geöffnet wird.
Und da tippe ich auf einen API-Hook oder spezielle Treiber um die zugriffe abzufangen.
Ist die Datei dann überprüft und alles ist OK wird an die "richtige" Funktion weitergegeben.
€dit:
In der Wikipedia steht dazu:
Der Echtzeitscanner (engl. On-Access Scanner), auch Zugriffsscanner genannt, ist im Hintergrund als Systemdienst (Windows) bzw. Daemon (Unix) aktiv und scannt alle Dateien, Programme, den Arbeitsspeicher und evtl. den HTTP- wie den FTP-Verkehr. Um dies zu erreichen, werden so genannte Filtertreiber vom Antivirenprogramm installiert, welche die Schnittstelle zwischen dem Echtzeitscanner und dem Dateisystem bereitstellen.
El_Choni_work: cant't you just spit the binary data to sqlite, as you would spit a hamster into a microwave oven?
* Fangles falls off the chair laughing
Aha, danke Eric!
Ich fand die Frage einfach mal interessant, aber wenn ich schon etwas von "Filtertreiber" lese, lasse ich doch lieber die Finger davon
@ Kiffi: Den Code habe ich mir angeschaut. Aber irgendwie habe ich das Gefühl, ich könnte das auch selber mit LinkedLists nachbauen. Denn wenn ich eine Textdatei öffne, die in C:\ liegt, dann meldet der Code nicht, wenn ich die Datei lese, nur wenn ich sie modifiziere und/oder lösche.
Trotzdem danke!
Ich fand die Frage einfach mal interessant, aber wenn ich schon etwas von "Filtertreiber" lese, lasse ich doch lieber die Finger davon
@ Kiffi: Den Code habe ich mir angeschaut. Aber irgendwie habe ich das Gefühl, ich könnte das auch selber mit LinkedLists nachbauen. Denn wenn ich eine Textdatei öffne, die in C:\ liegt, dann meldet der Code nicht, wenn ich die Datei lese, nur wenn ich sie modifiziere und/oder lösche.
Trotzdem danke!
PB 4.30
Code: Alles auswählen
Macro Happy
;-)
EndMacro
Happy End
Um herauszufinden, welche Dateien geöffent wird verwende ich Filemon.exe.
Um die zugriffe in der Registrie zu überprüfen benutze ich Regmon.exe
Hab ich kurzer Hand hochgeladen:
Filemon.exe DEAD LINK 1
Regmon.exe DEAD LINK 2
Um die zugriffe in der Registrie zu überprüfen benutze ich Regmon.exe
Hab ich kurzer Hand hochgeladen:
Filemon.exe DEAD LINK 1
Regmon.exe DEAD LINK 2
Zuletzt geändert von Leonhard am 31.07.2018 14:23, insgesamt 1-mal geändert.
-
Kaeru Gaman
- Beiträge: 17389
- Registriert: 10.11.2004 03:22
