win32のreadfile操作について

Question

Windowsシステムでは、特定のプロセスのすべての読み取り操作をインターセプトしようとしました。

これを実行するために、私は関数 'readfile'をkernel32.dllにフックしました。

読み取り操作を行っているほとんどのプログラムでうまく動作しているようです。

しかし、ときに私はそれが読出し動作のいずれかを傍受することはできません、「itunes.exe」は、いくつかのmp3ファイルを再生するプロセスをフックする

を試してみました。

「プロセスモニタ」で確認しました。これは、ReadFile関数の動作は、定期的に...

がKERNEL32.DLLでのReadFile関数

を使用せずにファイルにアクセスする他の方法があります表示しますか？

注入されたDLLは、iTunesを傍受することはできませんなぜを読み出し動作？...事前に

感謝。

Answer 1

はい、ファイルの読み取りには、いくつかの方法があります。

• ReadFile

• ReadFileEx KERNEL32でKERNEL32

• CreateFileMapping/MapViewOfFileでKERNEL32で、あなたがファイルを読み込むことができます代わりにそれをメモリにマッピングし、メモリを読み込む。このメカニズムが使用されているのはです。です。

• NTDLLでNtReadFile（通常は直接使用されず、ReadFileとReadFileExによって呼び出される）