要求 Windows 将数据写入磁盘的不同方法

Question

通常，当应用程序写入磁盘上的文件之一时，文件修改时间戳会发生变化。

有时，就我而言，它是用 ProvideX（我认为是 Business Basic 的衍生品）编写的应用程序进行写入，修改后的时间戳在写入后不会更改。像 MyTrigger 这样的程序也不会接收写入操作，但 Sysinternals ProcessMonitor 会记录磁盘活动。

显然，有不同的方法可以要求窗口执行写入操作，并且该请求也可以以各种不同的方式被挂钩或记录。

我需要能够挂钩来自 ProvideX 应用程序的写入操作。任何有关 Windows 写入磁盘的不同方式以及可用的挂钩类型的指针都将不胜感激。

谢谢

Answer 1

用户模式进程可以使用 WriteFile API 函数或使用 MMF、内存映射文件 API (CreateFileMapping/MapViewOfFile/Write to memory block) 写入文件。也许您的应用程序采用 MMF 方式。 MMF 写入文件的方式与 WriteFile API 非常不同，但它们都导致相同的端点 - 发送到文件系统驱动程序的 IRP。文件系统过滤器驱动程序（例如 Sysinternals 使用的过滤器驱动程序）可以跟踪该 IRP 级别上的写入请求。技术上可以通过发送不同的IRP（涉及缓存和非缓存写入）来区分MMF和WriteFile发起的写操作。看来Windows中的目录更改监视功能只跟踪一种IRP类型，这会导致MyTrigger错过更改。