Подскажите пожалуйста, какими методами можно отследить копирование файлов на локальной машине (с/на флешку,  с/на CD, через сетку), причем требуется информация: кто (ip, имя машины, имя пользователя), куда (ip, путь к исходной дириктории), когда и само сабой что копировалось.

См. аттач

Добавлено @ 15:55 
Но работает только с локальной машиной и с NTFS.

Присоединённый файл ( Кол-во скачиваний: 47 )
 WindowsApplication6.zip 111,68 Kb

Softaz, я с .NET сталкиваюсь впервые, мне то всего-то надо узнать инфу перечисленную выше и отправить на сервер (последнее по началу задумывалось делать через VBS, да если честно не хочется заморачиваться еще с C# - итак голова гудит) объясни или пошли туда где описан монстр System.IO.FileSystemWatcher и с чем его едят? Премного благодарен.

Если тебе нужно не только мониторить, но и сохранять файлы до _изменения_, то это не подойдет.
Надо перехватывать функции в kernel mode. Можно, конечно и в UserMode, но обхитрить такую программку можно будет с полпенька. Для запуска файла



И тогда уже это не .NET, а win32 native code
Рабочий пример:


Это сообщение отредактировал(а) Softaz - 13.11.2006, 21:16

Простите, тогда причём тут .NET?

Ищу готовые ответы, да вот только все более куда-то в дебри уносит...

FileSystemWatcher работает и с FAT32.

У меня не работал почему-то. Мне сказали, что и не работает... свято верил   

Товарищи, а реально изучить и написать следующее...

Есть любая win NT, с любой файловой системой, на этой локальной машине следует провернуть:
Как только происходит копирование на сьемный носитель (флешка, диск) следует тут же отправить подробную инфу на сервер; если сервер недоступен, то повторить чуть поже...

Это при условии, что я .net не знаю, вообще занимаюсь веб-разработкой, ну и когда-то написал в институте на С++ MFC пару прог...
За какое время, такое возможно изучить и написать, и какие средства для это надо использовать?

вполне...что утечек информации много?  скорее через интернет, чем через флешку...

.net здесь вообще не при чем. смотри в сторону winapi. особенно при условии, что машина win NT любая...т. е. не исключено, что .net на ней нет  за какое время, сказать сложно. смотря насколько всевидящей должна быть прога.

ANDeath
Если все-таки решил на .net, то начинай копать с примера:



если # не любишь:




Все реально, в том числе и для .net. Организацию сетки смотри в System.Net.

Это сообщение отредактировал(а) alir - 15.11.2006, 11:27

alir, лично мне, начинать надо с общей концепции .net) но все равно спасибо...
Уже решил писать на С++ под api хук, следящий за буфером обмена...
потом или службу попытаюсь создать, или прогу висящую в трее, о которой никто не должен знать...а может и на vbs, что-нибудь придумаю...

Это сообщение отредактировал(а) ANDeath - 15.11.2006, 12:30

ANDeath, ты на hxxp://wasm.ru/forum/ сходи - там такие темы через день всплывают, почитай статьи Ms-Rem о перехвате функций.
Только писать такое на .net будет сложнее, чем на обычном с++. Потому что для последнего случая в сети полно примеров перехвата функций.
Опыт ты получишь колоссальный, главное на 100-ой неудачной компиляции не сдаться.

Фигня получится, если к примеру будем тотал командиром копировать, или драг-дропом, или через батник, и т.п.

mr.DUDA, да, пожалуй ты прав, а есть ли какие-нибудь идеи? вариант с апи тогда вообще отпадает?

API Hook нужен на функции CopyFile/CopyFileEx и MoveFile/MoveFileEx, см. http://www.codeproject.com/system/hooksys.asp

mr.DUDA, а как это хук на CopyFile b MoveFile, они же ничего в очередь сообщений не кидают?

Почитай плз ссылку что я дал выше. API хук и windows hook разные вещи. API hook юзает вин-hook для инжекции в чужое адресное пространство, но по сути своей и назначению - совершенно другая область: api-hooks = перехват вызовов WinAPI функций, win-hooks = перехват оконных сообщений.

mr.DUDA, на данный момент, имеет ли смысл изучать это все? смогу ли я после всего узнать куда был скопирован файл, и определить является ли пункт назначения съемным носителем (cd, флешка, внешний хард)?

Это сообщение отредактировал(а) ANDeath - 17.11.2006, 15:04

Да, путь source и destination в обеих функциях есть, этого достаточно.


Это придётся отдельно сделать - в .NET есть стандартный класс DriveInfo, у него можно это узнать. Если нужна более детальная инфа о типе носителя (например, отличить флешку от флопика), то помогут классы из неймспейса System.Management

mr.DUDA, во-первых, большое спасибо за консультацию, приступаю к изучению апи-хук   ...если есть какая-нибудь инфа о том как его писать - поделись пожалуйста...

во-вторых, а по букве из пути destination нельзя ли определить тип запоминающего устройства?
для флопи это понятно будет - диск A
для флешки и мобильного харда, может можно как-нибудь определить через апи-функции?
а вот как отследить запись на cd - явно проблема...

Обычно дисковод блокируется во время записи (иногда его блокируют также некоторые инсталляторы, но редко)
Так что если заблокирован, то скорее всего что-то пишут.


Так один приколист сделал прогу, "запоминающую" первый обнаруженный дисковод, и если производилась запись, то отправлял комп в ребут. Если вставлялся другой дисковод - все было нормально. И так несколько дисководов хапнул как сломанные.




Вот для этого и существуют классы, названные mr.DUDA.

Кажется, меня не так поняли...я хотел узнать можно ли определить тип зап. устройства по имени, ограничиваясь языками с++ и vbs, ну не хватит мне времени чтобы еще в .NET ковыряться...
Softaz, а как связать: сидюк блокируется после начала записи и перехват апи-функций копирования? Насколько я себе это представляю, проги типа стандартного win-резака и nero про запоминают список необходимых файлов (ссылки на них), а потом просто читая эти файлы, пишут на CD. Так?

P.S.: вопрос о  литературе и примерах об api-хуках остается открытым и крайне актуальным.
Ссылка на пример? предоставленная mr.DUDA, безусловно является крайне полезной, но не достаточно информативной для меня.
В нете нашел как писать апи-хуки на pascal, да вот только видно не владею им в достаточно степени.

Это сообщение отредактировал(а) ANDeath - 18.11.2006, 13:26

Тогда эта тема - кандидат на перемещение в один из указанных разделов.   

mr.DUDA, если бы там отвечали, я бы здесь не сидел...  

ANDeath, так или иначе, по C++ и VBS никто здесь советов не даёт.

Триумфальное возвращение к .NET   

Средствами WMI и VBS ничего неудалось поделать; основная проблемма заключается в том чтобы узнать путь к файлу, который был скопирован.

Копал и Api-hook для CopyFile, но работает это не слаженно и его можно легко обойти....
Так же смотрел исходники filemon с его виртуальным драйвером - слишком много гемороя...

И вот я вернулся к .NET...просмотрел, на скорую руку, синтаксис C#...и пространство имен System.IO. И опять возникает вопрос можно ли понять какой файл был скопирован? Хотя бы следить за событиями чтения файлов? Я уже даже незнаю как решать эту проблему, может как-нибудь связывать событие создания файла с процессами (просто предположение). Я уже не вспоминаю про запись на компакт-диски...

Ты внимательнее ответы читай   
Вот здесь http://forum.vingrad.ru/s/07187540e1f9ed26...ic-121301.html#
в аттаче целая программка

[b]Softaz[/b,
Во-первых эта программа у меня только запустила форму и отказалась как-либо реагировать на нажатие кнопок и на события происходящие в папке, указаной в xml-документе...может она только показательная и оно так и надо, но...

Во-вторых, я просмотрел все скрипты и натолкнулся только на один, нужный мне и заодно подвласный моему разумению... так вот, я не понимаю каким образом здесь возможно отследить за копированием? теже события что и в WMI: создание/модификация/удаление, ну и переименование добавили.

FormMain.cs

fileSystemWatcher следит за конкретной папкой (или файлом). Есу дела нет как изменилось его содержимое. 
Ты скопировал или модифицировал или еще что-нить сделал   Ему главное, что состояние объекта его наблюдения изменилось   


Можно так:

Правда для Changed нужно как-то отсеивать модификацию файла прямо в папке.
Хотя я считаю, что это не нужно делать воообще.

Или ты хочешь отследить момент когда ИЗ контролируемой папки что-то копируют?
Тогда FSW не особо проходит. Не ставить же его на все доступные диски   

Именно! а зачем мне следить за наполнением папок? поддерживать чистоплотность?  


Может как-нибудь сканировать порты usb? или наблюдать за драйверами?

Когда я тоже думал (неделюку назад) systemwatcher юзать, но если его юзаешь, то нельзя флэшку отключить, пишет что она "занята"
если останавливаешь программу наблюдатель, то "флэшку можно безопасно извлечь из компьютера"

вариант 2. если физически выдернуть флэшку и назад воткнуть, то наблюдения за файловой системой прекратятся, можно что угодно скопировать на флэшку или с нее.

Вот тебе и файло наблюдатель разочаровал он меня!

Добавлено @ 00:54 
Может быть конечно все таки решение понемножку созреет (не только у меня)

Когда меня осенило писать все на VBS используя WMI, я в наивном неведении, что нельзя отслеживать события чтения, все-таки написал скрипт, который перехватывал созданные методом копирования файлы и реализовал модуль, который следил за подключениями сьемных носителей (тип 1 в FSO)...в такой ситуации "вариант 2" - это не проблемма...а автоматическое прекращение выполнение скрипта - только на руку...
...но что делать, со слабонервными, которые боятся дотронуться до флешки пока точно не убедятся что она отключена? это взаправду косяк...
...но повтарюсь, трабл в том чтобы определить какой файл был скопирован!!!

p.s.: судя по молчанию здешних мастеров, вывод один - въежать в код filemon и медленно, но уверенно писать прототип на winapi...

p.p.s.: впрочем, меня вчера уже уволили с испытательного срока и мне уже .... зато прокачался немалым опытом  
...а фирма, в которую я нанимался программистом, послала заказ какой-то здешней фирме-разработчику, которая в свою очередь обещала написать прогу, следящую за всеми перемещениями в FS (в том числе и запись на CD) на .NET...любопытно, не правда ли? 

ANDeath данную программу и тему планируешь развивать?

Rustemka, есть маленький интерес к этому делу, но идей нет...
Через файловую систему, что либо подобное не реализуется, можешь не капать, проверенно на WMI и .NET...
...и оно правильно, там все реализуется через объекты, и это логично: создание, изменение параметров и удаление объекта зафиксировать легко...

Сейчас других проблем поболее, так что буду поддерживать тему пассивно...

P.S.:
Знакомый, бывший кгб-шник, занимавшийся радио-компьтер техникой советских времен, рассказывал что эту проблему легко решали на ассемблере (через вектора прерывания, порты и т.п.), а люди пользующиеся языками высокого уровня, на самом деле не программисты, а так - прикладники...старая школа 

А если копать в сторону, e.GetType там можно найти например, кто изменил файл?
e.GetType.GUID  Не работает

Оказывается так можно и за сетевым ресурсом наблюдать, только не понятно кто это сделал (скопировал, удалил)

Rustemka, e.GetType возвращает тип объекта 
Т.е. тебе вернется тип <кто-то что-то>EventArgs 

Rustemka, в данном случае я полностью согласен с ANDeath. Задача неразрешима только средствами .NET; придётся привлекать более низкоуровневые вещи, ну а про них я уже выше писал. Кстати, по-другому такие тулзы называются руткитами   

Я кстати мини програмку написал, но это только для лога за локальными ресурсами, но как вот быть с cd-rom и с "безопасным извлечением" флэшки увы открыт остался вопрос.