Question

В системе Windows я пытался перехватить все операции чтения определенного процесса.

Для этого я подключил функцию 'readfile' в kernel32.dll.

Кажется, это работает хорошо на большинстве программ, которые выполняют операцию чтения.

Но когда я попытался подключить процесс itunes.exe к воспроизведению некоторых mp3-файлов,

не может перехватить ни одну из операций чтения.

Я проверил это с помощью «Process Monitor». Периодически отображает операцию чтения файла ...

Есть ли другой способ получить доступ к файлу без использования функции readfile

в kernel32.dll?

Почему введенная dll не может перехватить операцию чтения itunes? ...

Заранее спасибо.

Mehrdad · Answer 1 · 22 июля 2011

Да, есть несколько способов прочитать файл:

ReadFile в ядре32
ReadFileEx в ядре32
CreateFileMapping / MapViewOfFile в Kernel32, который позволяет читать файл, сопоставляя его с памятью и читая память вместо этого; очень вероятно , что этот механизм используется.
NtReadFile в NTDLL (вызывается ReadFile и ReadFileEx, обычно не используется напрямую)

Об операции чтения файла win32

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.