如何捕获读写系统调用？

Question

每当我尝试在随身碟上写入任何内容时，都会生成写入系统调用。我想要做的是，这个写调用应该被捕获，并且应该要求用户输入预先确定的密码（我可以在编码过程中定义）。 请告诉我这是否可能？如果是的话我应该怎么做？

Answer 1

Windows DDK 有一个在 filesys\minifilter 中挂钩文件读取/写入/复制的示例，其中包含操作前和操作后回调，这应该让您为内核方面进行设置。对于 GUI 部分，您需要执行非阻塞旋转，直到驱动器发出事件信号，您可能还需要管道或映射内存视图来传递数据

Answer 2

EasyHook 应该使您能够挂钩内核函数。我还没有尝试过，所以你的里程可能会有所不同。请务必谨慎挂钩函数 - 您可能会将机器的性能降低到无法使用的程度。您想要的是与用户交互，这意味着您必须搁置挂钩函数，并向用户空间发出回调。这可能不适合凡人。

无论如何，祝你好运！