Windows File Activity Observer ist ein Kernel Mode Treiber zur Beobachtung von Datei Events.

Hier sollen einige Informationen zusammengefasst werden, die bei der Weiterentwicklung helfen.

Ein nützliches Tool für das Entwickeln von Kernel Mode Treibern ist VisualDDK: ​http://www.sysprogs.org/

Das Tool bietet die Integration in VS und die Nutzung einer VM. Es ermöglicht das direkte, automatisierte Überspielen, Installieren und Starten der Testtreiber auf eine VM. Außerdem ermöglicht es den VS Debugger zu nutzen.

Zum Debuggen sollte noch das WDK von MS installiert sein. Im WDK Ordner finden sich viele Beispieltreiber, die man aber so direkt nicht mit VisualDDK nutzen kann. Der Assistent des VisualDDK erstellt C++ Treiber und die Treiber im WDK sind in C. Wer die Treiber nutzen möchte muss den Code entsprechend anpassen und fehlende Includes hinzufügen.

Zur Dokumentation:

Eine hilfreiche Seite für das Verwenden der WinAPI aus .NET heraus findet sich hier: ​http://www.pinvoke.net/index.aspx

Zum Einstieg in die Treiberprogrammierung mit dem WDK bietet die MSDN hier Infos: ​http://msdn.microsoft.com/en-us/library/ff557573%28v=VS.85%29.aspx

In den 2 angehängten Dateien findet sich der Source Code zu einigen Testtreibern und Software.