¿Puedo detectar cuándo se copia un archivo en Windows? ¿Creará un evento en el registro de Windows? ¿O no puedo? Sé que puede detectar cuándo se crea un archivo debido a los punteros del archivo y esas cosas, pero ¿puede detectar un archivo que se está copiando?
Copiar es simplemente leer el contenido de un archivo y escribirlo en otro lugar. Si un usuario puede leer un archivo, puede copiar su contenido en algún lugar donde tenga acceso de escritura.
En Windows, hay ganchos de copia que podría usar para registrar o bloquear la operación, pero solo se aplican al shell (es decir, Explorer). El uso del símbolo del sistema evitaría dichos enganches.
Si desea registrar el acceso a los archivos, debe configurar auditoría . Básicamente, deberá cambiar la SACL en el archivo (s) en cuestión para registrar las lecturas (use la pestaña Auditoría del cuadro de diálogo de seguridad avanzada) y también cambiar la política de auditoría del sistema para registrar el acceso a objetos. Para registrar la creación del nuevo archivo, deberá auditar Crear archivos / escribir datos en el directorio que recibirá la copia.
Todavía será muy difícil correlacionar una operación de lectura con la escritura de una copia si el usuario es incluso un poco inteligente. Podían leer el contenido en la memoria y esperar un rato antes de escribirlo; podrían comprimir o cifrar los datos para que la copia no sea la misma en el disco; podrían enviar el archivo a través de Internet para evitar la escritura de nuevos archivos. Realmente no se puede distinguir una lectura pura de la primera parte de una copia.
Lea otras preguntas en las etiquetas windows file-system