我正在使用文件审核来跟踪特定文件是否被打开/修改(4663 事件)。
我获得了更多信息,关于哪个进程用于访问文件,例如:notepad.exe 等。
是否有其他 Windows API/函数可以用来做类似的事情?
答案1
你要找的是文件系统钩子,但不幸的是,Windows 并不直接支持它。七年前 StackOverflow 曾简要讨论过这个问题,https://stackoverflow.com/questions/447856/hooking-into-windows-file-access但当时的答案似乎并不令人满意。