Ako hoces da "hvatas trenutak" kad se fajl otvara, moras da hookujes neke fje koje su zaduzene za to, samo gledaj da hookujes sto "nize" fje, a ne wrappere istih (recimo, OpenProcess je wrapper od NtOpenProcess fje - mislim da je i NtOpenProcess wrapper neke fje, nisam siguran).
Elem, siguran sam da postoji tablica unutar sistema koja sadrzi spisak otvorenih handle-ova ka fajlovima - ali opet, tesko je da se sve to iscita...
Korisni linkovi -
www.rootkit.com &
www.sysinternals.com
---- EDIT
Sad mi je palo na pamet - mozda mozes da napravis popis svih aktivnih procesa na sistemu, i da iz njih kreiras popis fajlova koji su ti procesi otvorili - verovatno je lakse od ove prve dve ultra-mega-driver tehnike :D ali pitanje je koliko ces dobiti pouzdane rezultate.
poz
[Ovu poruku je menjao reiser dana 31.01.2006. u 01:05 GMT+1]