精易论坛

标题: 【Etw系列】使用Etw监视系统文件创建详细信息 [打印本页]

---

作者: ANormalUser    时间: 2022-6-20 11:51
标题: 【Etw系列】使用Etw监视系统文件创建详细信息

Etw系列：

• 【易首发】使用Etw监视全系统IMAGE加载卸载情况


• 【Etw系列】使用Etw监视系统进程创建的详细信息


• 【Etw系列】使用NT Kernel Logger监听系统进程创建结束详细信息


• 【Etw系列】使用Etw监听系统线程创建销毁详细信息

更多：

• 利用Microsoft-Windows-Kernel-File监听系统文件创建消息：


• 用Etw监控文件变动可以监听到创建文件的进程ID，线程ID，文件ShareAccess等详细信息，这不比什么SHChangeNotifyRegister，NtNotifyChangeDirectoryFile之类的函数强？？？

PS：

• 程序启用事件监视必须拥有管理员权限！


• 程序启用事件监视必须拥有管理员权限！


• 若监视程序异常退出，请务必手动停止监视事件


• 若监视程序异常退出，请务必手动停止监视事件

程序下载：

[hide=d114514] Etw - File - CreateNewFile.e (29.05 KB, 下载次数: 193)

2022-6-20 11:51 上传

点击文件名下载附件
下载积分: 精币 -2 枚

[/hide]

---

作者: cf2006a    时间: 2022-6-20 14:39
有更新了强！！！！

---

作者: Bszk    时间: 2022-6-20 15:05
666，感谢分享

---

作者: gaoqing    时间: 2022-6-20 15:10
谢谢分享

---

作者: bianyuan456    时间: 2022-6-20 15:56
感谢分享、

---

作者: longgekaifa    时间: 2022-6-20 16:10
支持开源~！感谢分享

---

作者: fjgh    时间: 2022-6-20 16:42

---

作者: sinewtec    时间: 2022-6-20 16:42
支持开源~！感谢分享

---

作者: incwin    时间: 2022-6-20 16:45

谢谢分享

---

作者: quary888    时间: 2022-6-20 19:59
谢谢楼主分享！！！
好人一生平安！！！

---

作者: jing2020yi    时间: 2022-6-20 20:03
谢谢分享~

---

作者: kantal    时间: 2022-6-20 20:34
支持开源~！感谢分享

---

作者: By平凡    时间: 2022-6-20 22:02
感谢分享，是非常好的学习参考资源~

---

作者: 794229345    时间: 2022-6-20 23:38
膜拜大佬！大佬牛B！

---

作者: 小小小Baby    时间: 2022-6-21 06:57
太牛逼了，支持大佬开源，学习了

---

作者: 杰西卡技术传媒    时间: 2022-6-21 08:51
支持开源~！感谢分享

---

作者: jiang910615    时间: 2022-6-21 10:06
学习学习

---

作者: h1298284307    时间: 2022-6-21 13:38

膜拜大佬！大佬牛B！

---

作者: xtavoxing    时间: 2022-6-21 15:41
好像可以得到很多东西了..还能监视哪些事件呀

---

作者: ANormalUser    时间: 2022-6-21 18:33

xtavoxing 发表于 2022-6-21 15:41
好像可以得到很多东西了..还能监视哪些事件呀

Win11 21H2更新以来，系统已知事件有51696个，Manifest Providers的事件有876个，MOF Providers的有187个。
系统提供了Providers的事件都是可以监听的

---

作者: fyh505099    时间: 2022-6-21 20:28
赶紧跟上大佬的步伐

---

作者: caoljie    时间: 2022-6-21 22:48
监视系统文件创建详细信息

---

作者: WeBox    时间: 2022-6-22 01:54
6666666666666666666666

---

作者: 菜就多多练    时间: 2022-6-22 16:24
支持开源~！感谢分享

---

作者: kflizcst    时间: 2022-6-22 18:50
        开源精神必须支持~

---

作者: z博士    时间: 2022-6-22 23:53
感谢分享

---

作者: り铕靺╮铕樣﹏    时间: 2022-6-23 04:24
感谢分享

---

作者: 135544    时间: 2022-6-23 13:23
        感谢分享，很给力！~

---

作者: 韦贝贝    时间: 2022-6-23 15:11
Etw监视系统文件创建详细信息

---

作者: 涛哥娱乐网    时间: 2022-6-23 18:23
谢谢开源！！

---

作者: FUYUEPC    时间: 2022-6-24 18:07
让 江小白 来看看帖子里藏了啥好东西~~~

---

作者: lzgking    时间: 2022-6-27 01:32
支持开源~！感谢分享

---

作者: LBS3210    时间: 2022-6-30 19:52
         开源精神必须支持~

---

作者: 金叶    时间: 2022-6-30 23:25
大佬,这个 无法判断 文件目录是怎么回事

---

作者: 金叶    时间: 2022-6-30 23:27
大佬 创建文件和删除文件都无法检测文件目录 是怎么回事  前面没有盘符   还有前面多了几个文件夹

---

作者: 金叶    时间: 2022-7-10 00:00
大佬 创建文件 监视我给写成模块分享出来你不介意吧   方便大家直街调用   我把那个目录也给转换了一下  分享出来的时候我标记一下你的名字 以及连接  要是大佬介意 就联系我删除一下

---

作者: pipi9    时间: 2022-7-10 01:50
感谢分享

---

作者: yujiekuxiao    时间: 2022-12-24 18:17
very nice very nice very nice

---

作者: opq123    时间: 2023-2-13 21:51
感谢分享，很给力！~

---

作者: jafyang    时间: 2023-4-25 13:35
感谢分享，很给力！~

---

作者: Catch腾大仙    时间: 2023-5-6 12:05
管理员执行也是没有效果，什么情况

---

作者: czk2    时间: 2023-7-20 19:14
#在这里快速回复#开源精神必须支持~

---

作者: 千百正规    时间: 2023-7-27 18:40
用Etw监控文件变动可以监听到创建文件的进程ID，线程ID，文件ShareAccess等详细信息，这不比什么SHChangeNotifyRegister，NtNotifyChangeDirectoryFile之类的函数强？？？

---

作者: sunnnyzlc    时间: 2024-4-24 14:28
very nice very nice very nice

---

作者: leofly    时间: 2024-12-12 15:24
非常感谢大佬

---

欢迎光临 精易论坛 (https://125.confly.eu.org/)

Powered by Discuz! X3.4