大大们好 我又来了。。
这次进行了SSDT hook, hook了 NtSetInformationFile ,想观察文件的删除。
每次调用时都打印出进程ID 进程名 文件名等。

当我用shift+delete删除一个文件时打印的信息如下：
Process Name: explorer.exe       
PID = 164       
File Volume: C:       
File Name: \Documents and Settings\Administrator\桌面\123.txt       
FileDispositionInformation       
----------------------------------------       

当我用delete删除另一个文件到回收站时打印的信息如下：
----------------------------------------       
Process Name: explorer.exe       
PID = 164       
File Volume: C:       
File Name: \Documents and Settings\Administrator\桌面\test.txt       
FileDispositionInformation       
----------------------------------------       
Process Name: explorer.exe       
PID = 164       
File Volume: C:       
File Name: \Documents and Settings\Administrator\桌面\test.txt       
FileDispositionInformation       
再从回收站中删除这个文件时会打印很多次上面的信息 文件名路径各都不同，这个我可以理解 删除到回收站可能要进行别的 比如路径改变 重命名等操作。

问题来了，问什么两次删除动作，shift+delete调用一次函数，而删除到回收站调用两次呢？

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)