Текущий архив: 2005.10.30;
Скачать: CL | DM;
Вниз
NtOpenFile Найти похожие ветки
← →
SpyBoy © (2005-08-21 22:13) [0]Расскажите о ней...
← →
Anatoly Podgoretsky © (2005-08-21 22:16) [1]А что это такое?
← →
vrem (2005-08-21 22:16) [2]:) пошёл спать смеясь :)
← →
Джо © (2005-08-21 22:24) [3]Она - всем хороша. Только документы у нее не в порядке. Лучше не связывайся с ней :)
← →
Турист (2005-08-21 22:28) [4]>SpyBoy © (21.08.05 22:13)
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/devnotes/winprog/ntopenfile.asp
← →
SpyBoy © (2005-08-22 00:11) [5]>Anatoly Podgoretsky © (21.08.05 22:16) [1]
Ну тогда раскажите , как узнать имя *.exe-файла проги, которая использует файл(My.txt)(Я знаю размер, путь к My.txt)?
← →
SpyBoy © (2005-08-22 00:23) [6]Ну ладно, а как тогда мониторить обращения к файлам(/у) при эмуляции нажатий клавиш?
← →
Piter © (2005-08-22 02:18) [7]SpyBoy © (21.08.05 22:13)
Расскажите о ней...
ну что тебе рассказать, малыш...
В общем, достаточно уравновешена, хотя иногда бывает всклочена и непостоянна. Но это редко.
Имеет привычку капризничить на не NT системах, с чем связано - непонятно, но факт остается фактом...
Вообще, рекомендую написать этому человеку: bill@microsoft.com - неоднократно слышал мнение, что он в этом хорошо разбирается...
← →
Вжжжик (2005-08-22 02:32) [8]функция предназначена только для вызова из драйверов и не откуда больше. этим все сказано.
SpyBoy © (22.08.05 00:23) [6]
>> Ну ладно, а как тогда мониторить обращения к файлам(/у) при
>> эмуляции нажатий клавиш?
эт Вам батенька ток драйвер нужно писать.. видимо оттуда и интерес к NtFileOpen() ?
← →
alpet © (2005-08-22 07:52) [9]Похоже опять старая идея борьбы с троянами/кейлогерами тревожит ? Чтобы стать хорошим борцом с троями, надо хорошо изучить систему, и программирование ее в режиме ядра. Что значит найти банальных и простых решений на Delphi, тебе не светит, тут думать придется и не мало.
← →
n0name (2005-08-22 08:44) [10]>>функция предназначена только для вызова из драйверов и не откуда больше. этим все сказано
Нет, можно вызывать и из R3.
>>Ну тогда раскажите , как узнать имя *.exe-файла проги, которая использует файл(My.txt)(Я знаю размер, путь к My.txt)?
Копать в сторону объектов.
зайди на www.ntinternals.com там скачай справочник по Nt* функциям. Конечно, Неббет лучше, но ссылку я не помню.
← →
BiN © (2005-08-22 09:46) [11]Вжжжик (22.08.05 02:32) [8]
функция предназначена только для вызова из драйверов и не откуда больше. этим все сказано.
Ф-я CreateFile вызывает сабжевую функцию в пользовательском режиме. Вот примерная схема вложенности:
CreateFileA - kernel32
CreateFileW - kernel32
NtCreateFile - ntdll
ZwCreateFile - ntdll
← →
Вжжжик (2005-08-22 10:31) [12]в МСДН (ссылка Турист"а) ясно написано
The NtOpenFile documentation is provided for the sake of full API coverage. NtOpenFile is equivalent to the ZwOpenFile function documented in the DDK. For more information on the ZwOpenFile and related functions, go to http://msdn.microsoft.com/library. In the left-hand pane, click Windows Development, then click Driver Development Kit.
что такое DDK объяснять не надо?
n0name:
>> Нет, можно вызывать и из R3.
а нужно ли?
← →
Игорь Шевченко © (2005-08-22 10:35) [13]Вжжжик (22.08.05 10:31) [12]
> в МСДН (ссылка Турист"а) ясно написано
Не читайте перед завтраком советских газет (с)
← →
n0name (2005-08-22 12:19) [14]>>а нужно ли?
Нет, лучше NtCreateFile.
← →
New_user (2005-08-26 12:33) [15]alpet © (22.08.05 07:52) [9]
Похоже опять старая идея борьбы с троянами/кейлогерами тревожит ? Чтобы стать хорошим борцом с троями, надо хорошо изучить систему, и программирование ее в режиме ядра. Что значит найти банальных и простых решений на Delphi, тебе не светит, тут думать придется и не мало.
Но ведь можно получть список запущенных процессов,и проверить, не используют ли они этот той файл.
← →
Игорь Шевченко © (2005-08-26 12:33) [16]
> Но ведь можно получть список запущенных процессов,и проверить,
> не используют ли они этот той файл.
Как ?
← →
Rouse_ © (2005-08-26 12:47) [17]> BiN © (22.08.05 09:46) [11]
Zw откуда взялась? AFAIK либо Nt либо Zw. Подробнее у Шрайбера.
← →
BiN © (2005-08-26 13:03) [18]Rouse_ © (26.08.05 12:47) [17]
> BiN © (22.08.05 09:46) [11]
Zw откуда взялась
Точно, ошибся. И на старуху, как говориться... -)
К тому же съехал с NtOpenFile на NtCreateFile.
← →
Игорь Шевченко © (2005-08-26 13:17) [19]
> Zw откуда взялась? AFAIK либо Nt либо Zw. Подробнее у Шрайбера.
Zw (реальная, а не алиас) вызывается только из режима ядра. Из пользовательского вызываются только Nt-функции (или пользовательские Zw, указывающие в точности на Nt-), в свою очередь, вызывающие Nt-функции ядерного режима.
Страницы: 1 вся ветка
Текущий архив: 2005.10.30;
Скачать: CL | DM;
Память: 0.51 MB
Время: 0.025 c
