ProcessMonitor CreateFile

IT-T0bi · 19. Februar 2020

Moin Leute,

ich habe ein paar Events, während eines Setups einer Mod, mit Process Monitor mitgeschnitten.
Mir ist das bereits schon mehrfach aufgefallen (bei unterschiedlichen Setups), dass beispielsweise bei der Operation 'CreateFile', Paths dahinterstehen die bereits existieren (bsp C:\Users\USER\Desktop) oder Systempfade sind, wie 'C:\Windows\Syswow64\crypt32.dll'.
Ich glaube jedoch nicht, dass die Setups diese Ordner bzw. DLLs erst erstellen.
Warum wird der Zugriff als CreateFile definiert?

Grüße

S.Kara · 21. Februar 2020

In C++ kann man überprüfen ob eine Datei existiert, indem man CreateFile mit dem Attribut "OPEN_EXISTING" aufruft. Wenn es fehlschlägt existiert die Datei nicht, wird aber auch nicht erstellt.
CreateFile wird daher ebenfalls aufgerufen, wenn man auch nur Attribute von Dateien auslesen will, z.B. mit GetFileAttributes.

Andere Sprachen werden ähnlich verfahren.

Wenn der Setup in eine Datei schreibt sollte es noch ein WriteFile geben.

IT-T0bi · 21. Februar 2020

Hab mir sowas in der Art schon fast gedacht, war mir aber nicht zu 100% sicher.
Ich danke dir für die Antwort

.

Suche

ProcessMonitor CreateFile

IT-T0bi

Cadet 4th Year

S.Kara

Captain

IT-T0bi

Cadet 4th Year

Ähnliche Themen

Passend zum Thema

März-Patchday für Windows 11 Update mit Browser-Speedtest patcht auch Sicherheitslücken

Patchday für Windows 11 Microsoft verteilt neue Secure-Boot-Zertifikate

Update für Windows 11 und 10 Der erste Patchday in 2026 behebt vor allem Fehler