Différentes manières de demander à Windows d'écrire des données sur le disque

Question

Habituellement, lorsqu'une application écrit dans l'un de ses fichiers sur le disque, l'horodatage modifié du fichier change.

Parfois, et dans mon cas c'est une application écrite dans ProvideX (un dérivé de Business Basic je crois) qui fait l'écriture, l'horodatage modifié ne change pas après une écriture. Un programme tel que MyTrigger ne détectera pas non plus l'opération d'écriture, mais Sysinternals ProcessMonitor enregistre l'activité du disque.

Il semble évident qu'il existe différentes façons de demander à Windows d'effectuer des opérations d'écriture, et la requête peut ensuite être connectée ou enregistrée de diverses manières.

Je dois pouvoir connecter les opérations d'écriture provenant de l'application ProvideX. Tous les pointeurs sur les différentes façons dont Windows écrit sur le disque, et le type de crochets disponibles pour eux seraient grandement appréciés.

Merci

Answer 1

processus en mode utilisateur peut écrire dans le fichier soit en utilisant la fonction API WriteFile ou en utilisant MMF, API fichier mappé en mémoire (CreateFileMapping/MapViewOfFile/écriture à un bloc de mémoire). Peut-être que votre application va bien au format MMF. MMF écrit dans des fichiers très différemment de l'API WriteFile, mais tous les deux aboutissent au même point de terminaison - IRP envoyé au pilote du système de fichiers. Pilote de filtre de système de fichiers (tel que celui utilisé par Sysinternals stuff) peut suivre les demandes d'écriture sur ce niveau IRP. Il est techniquement possible de distinguer entre les opérations d'écriture initiées par MMF et WriteFile au fur et à mesure que différents IRP sont envoyés (l'écriture en mémoire cache et non mise en cache est impliquée). Il semble que la fonction de surveillance de changement de répertoire dans Windows ne piste qu'un seul type IRP, ce qui fait que MyTrigger rate le changement.