首先是 http://www.sysinternals.com 上面的工具,一堆堆的,比如
filemon:文件监视工具,监视文件创建修改删除等等
regmon:注册表监视工具,经常用来看看软件都访问哪些注册表区域,便于直接修改之:)
autorun:看看都有哪些东东在你启动机器,启动explorer,启动ie的时候跳出来,看着不爽就干掉它!
pexplorer: process explorer,经常用来看看windows的进程树以及都有进程是从什么位置加载的,比windows自带的好用多了
。。。。。还有一大堆工具自己看着吧,觉得好的到这里推荐一下给我:)
其次是windbg,大名鼎鼎的windows debug,有了visual studio之后很少人提到,但是据说windows编程高手都用过它,今天down下来,用来看看一般的文件增删改都用了哪些API,挺好用的,这里下载:
windbg:
http://msdl.microsoft.com/download/symbols/debuggers/dbg_x86_6.5.3.8.exe
symbols:
http://msdl.microsoft.com/download/symbols/packages/windowsxp/WindowsXP-KB835935-SP2-slp-Symbols.exe
介绍的文章:
http://www.allnets.com.cn/ReadNews.asp?NewsID=306
今天用它来追踪kernel32的下列API:
CreateDirectoryA, CreateDirectoryExA, CreateDirectoryExW, CreateDirectoryW
CreateFileA, CreateFileW
DeleteFileA, DeleteFileW
RemoveDirectoryA, RemoveDirectoryW
MoveFileA, MoveFileExA, MoveFileExW, MoveFileW
MoveFileWithProgressA, MoveFileWithProgressW
文件和文件夹的增、删、改名都已经搞定,明天开始研究hook看看能否截获所有的增删改事件。
BTW:"delete"和"remove"在英文单词里面的区别是什么?为什么对于文件夹用Remove对于文件用Delete?回想一下shell命令中好像也是如此(del和rmdir)。
第三个,picasa好像开始在google主页做宣传了,如果你讨厌picasa.ini,建个batch file,比如说delPica.bat,把下面的内容copy进去,保存,运行之
REM 这里只写了c盘到e盘,根据自己的数量以及编号酌情加减
c:
cd \
del /AH /F /S /Q picasa.ini
d:
cd \
del /AH /F /S /Q picasa.ini
e:
cd \
del /AH /F /S /Q picasa.ini
filemon:文件监视工具,监视文件创建修改删除等等
regmon:注册表监视工具,经常用来看看软件都访问哪些注册表区域,便于直接修改之:)
autorun:看看都有哪些东东在你启动机器,启动explorer,启动ie的时候跳出来,看着不爽就干掉它!
pexplorer: process explorer,经常用来看看windows的进程树以及都有进程是从什么位置加载的,比windows自带的好用多了
。。。。。还有一大堆工具自己看着吧,觉得好的到这里推荐一下给我:)
其次是windbg,大名鼎鼎的windows debug,有了visual studio之后很少人提到,但是据说windows编程高手都用过它,今天down下来,用来看看一般的文件增删改都用了哪些API,挺好用的,这里下载:
windbg:
http://msdl.microsoft.com/download/symbols/debuggers/dbg_x86_6.5.3.8.exe
symbols:
http://msdl.microsoft.com/download/symbols/packages/windowsxp/WindowsXP-KB835935-SP2-slp-Symbols.exe
介绍的文章:
http://www.allnets.com.cn/ReadNews.asp?NewsID=306
今天用它来追踪kernel32的下列API:
CreateDirectoryA, CreateDirectoryExA, CreateDirectoryExW, CreateDirectoryW
CreateFileA, CreateFileW
DeleteFileA, DeleteFileW
RemoveDirectoryA, RemoveDirectoryW
MoveFileA, MoveFileExA, MoveFileExW, MoveFileW
MoveFileWithProgressA, MoveFileWithProgressW
文件和文件夹的增、删、改名都已经搞定,明天开始研究hook看看能否截获所有的增删改事件。
BTW:"delete"和"remove"在英文单词里面的区别是什么?为什么对于文件夹用Remove对于文件用Delete?回想一下shell命令中好像也是如此(del和rmdir)。
第三个,picasa好像开始在google主页做宣传了,如果你讨厌picasa.ini,建个batch file,比如说delPica.bat,把下面的内容copy进去,保存,运行之
REM 这里只写了c盘到e盘,根据自己的数量以及编号酌情加减
c:
cd \
del /AH /F /S /Q picasa.ini
d:
cd \
del /AH /F /S /Q picasa.ini
e:
cd \
del /AH /F /S /Q picasa.ini
