> mrAlert   (19.12.07 15:06) [19]



> как отследить их вызов


"их" - это кого ?

> [19] mrAlert   (19.12.07 15:06)
В твоей постановке "не спорю на счет дурацких, но проконтралировать вынос файлов надо",
задача практически не решаема. Можно "скпировать" тысячью различных способов и explorer
здесь совершенно не при чем. IMHO не трать время.

паранойю лечить надо.

> не спорю на счет дурацких, но проконтралировать вынос файлов
> надо

Отключить USB-флэшки, отключить ком от инета, убрать все внешние накопители и приводы жисков, корпус опечатать. Права админа отобрать, политики настроить.

Но даже в этом случае юзер может вынести информацию просто запомнив ее или сфотографировав монитор :)

Надо на монитор повесить такую штукенцию как у Людей в черном: типа нажал -  туц, вспышка - и нифика не помнишь... А против фотиков - поставить рядом с монитором пару мощных магнетронов от микроволновок
%))))

> поставить рядом с монитором пару мощных магнетронов

Это и против юзеров эффективно - все тайны юзеры просто будут уносить в могилу. т.к. умирать будут часто.

дошел до следующего:
при копировании файла любым доступным методом винды, обязательно используется CopyFileExW(...) из kernel32.dll
вопрос: как её (не copyfileex из windows.dcu) перехватить????

> mrAlert   (20.12.07 07:35) [26]

Я вот не понимаю, что ты хочешь добиться? Чтобы юзер мог читать, но не мог скопировать файл? А создавать новые файлы юзер имеет право?
Если он имеет право читать и создавать - то все что надо он унесет куда угодно.

И без функции копирования вообще

Если уж чего и перехватывать, то это CreateFile и то что ниже ее.

> любым доступным методом винды


И каковые же, позволь полюбопытствовать, "методы винды" относятся к "доступным" ?

Что это вообще за "методы" ?
Подозреваю, что к оным причислены лишь телодвижения юзера в окнах Эксплорера ..

>Я вот не понимаю, что ты хочешь добиться?

он хочет проследить - что куда копируется.

>задача практически не решаема

задача практически решаема.

одно мне непонятно - почему бы просто не поставить аудит на успех на эту папку и потом смотреть логи.

> задача практически решаема


Ну поделись своими соображениями по поводу "решаемости")

Условие, например, вот такое простейшее - некий процесс открыл файл-оригинал, прочитал его содержимое куда-либо во врем.буфер и закрыл файл, после чего в некий последующий момент времени создал где-то некий файл с неким совершенно иным именем и записал в него содержимое того буфера. Факт копирования содержимого файла-оригинала неоспорим, однако как определить цель открытия файла-оригинала на момент его открытия ? Что при таком условии может выступать однозначным признаком преследования процессом цели копирования ?

> miek   (20.12.07 10:16) [31]


Задача решаема на столько же, насколько, к примеру, эвристический анализатор в составе какого-либо антивирусного софта способен распознать скрытые вредоносные алгоритмы в исследуемом коде.
Добиться 100%-го распознавания практически невозможно.

> [26] mrAlert   (20.12.07 07:35)
> дошел до следующего:
> при копировании файла любым доступным методом винды,
> обязательно используется CopyFileExW(...) из kernel32.dll

Чушь собачья. :)

P.S. Это не грубость - это правда :)

> Riply ©   (20.12.07 14:08) [34]


> Чушь собачья.
> Это не грубость


При всех "пысы" рискуешь, уважаемая, получить подобно мне пожизненный ярлык хама)

> [35] Сергей М. ©   (20.12.07 14:55)
> При всех "пысы" рискуешь, уважаемая,
> получить подобно мне пожизненный ярлык хама)

Ну... тогда... чушь человеческая :)

> При всех "пысы" рискуешь, уважаемая, получить подобно мне
> пожизненный ярлык хама)


да не, вы справедливый(мне во всяком случае помогали)

У вас анкета не найдена!

> У вас анкета не найдена


Мне просто настодолбенило ее реанимировать, извини уж)

:дошел до следующего:
:при копировании файла любым доступным методом винды, обязательно :используется CopyFileExW(...) из kernel32.dll
:вопрос: как её (не copyfileex из windows.dcu) перехватить????

Вы делаете мне смешно. Я же вам все уже написал..