Текущий архив: 2006.03.19;
Скачать: CL | DM;
Вниз
Перехват функции открытия файлов Найти похожие ветки
← →
Free0n © (2005-12-25 00:36) [0]Помогите пожалуйста разабраться с перехватом Win IP функций
хотелось на примере функкции открытия файлов родителя
(OpenFile) ???
← →
Eraser © (2005-12-25 01:09) [1]
> Free0n © (25.12.05 00:36)
Объясни сначало что такое файлов родителя?
← →
Free0n © (2005-12-25 13:41) [2]запятую забыл =)))
у функции OpenFile должен быть родитель, как мне кажется
Например
Процесс может быть создан множеством функций: CreateProcessA,
CreateProcessW, WinExec, ShellExecute, NtCreateProcess. При создании нового процесса обязательно происходит вызов функции ZwCreateThread.
Я считаю ZwCreateThread родителем CreateProcessA,
CreateProcessW, WinExec, ShellExecute, NtCreateProcess, хотя это немного не так.
ЕСТЬ ЛИ ТАКАЯ ФУНКЦИЯ У OpenFile, CreateFile ... ???
← →
VirEx © (2005-12-25 13:43) [3]Zw_ это уже API ядра
← →
Free0n © (2005-12-25 13:47) [4]Мне нужно перехватывать все OpenFile системы и запрещать запись, но разрешать чтение. Открыть файл можно по разному, поэтому хотелось бы знать какая API отвечает за открытие файла на уровне ядра?
← →
Anatoly Podgoretsky © (2005-12-25 13:49) [5]Free0n © (25.12.05 13:47) [4]
И зачем такое нужноThis function is provided for compatibility with 16-bit versions of Windows. I
← →
Free0n © (2005-12-25 13:52) [6]TO Anatoly Podgoretsky
Не важно, мне кажется что на уровне ядра за это отвечает одна функция
← →
VirEx © (2005-12-25 13:59) [7]чтобы перехватить обращения к файловой системе надо юзать драйвер файловой системы
← →
Anatoly Podgoretsky © (2005-12-25 14:14) [8]Free0n © (25.12.05 13:52) [6]
И это не OpenFile
← →
Free0n © (2005-12-25 15:12) [9]Знаю что не OpenFile и хочу узнать КАКАЯ!!!
← →
Free0n © (2005-12-25 15:15) [10]
> перехватить обращения к файлов
Я думаю, что не обязательно т.к. в ядре есть функции для работы с файлами, если их перехватывать и подменять на свои то драйвер файловой системы использовать не придется
← →
VirEx © (2005-12-25 15:29) [11]
> [10] Free0n © (25.12.05 15:15)
>
> > перехватить обращения к файлов
>
>
> Я думаю, что не обязательно т.к. в ядре есть функции для
> работы с файлами, если их перехватывать и подменять на свои
> то драйвер файловой системы использовать не придется
да в NT это ReadDirectoryChangesW а в 9x придется юзать драйвер
← →
ANB © (2005-12-26 09:38) [12]
> Free0n © (25.12.05 15:12) [9]
HANDLE CreateFile(
LPCTSTR lpFileName, // pointer to name of the file
DWORD dwDesiredAccess, // access (read-write) mode
DWORD dwShareMode, // share mode
LPSECURITY_ATTRIBUTES lpSecurityAttributes, // pointer to security attributes
DWORD dwCreationDistribution, // how to create
DWORD dwFlagsAndAttributes, // file attributes
HANDLE hTemplateFile // handle to file with attributes to copy
);
OpenFile в WinAPI нету. Но перехват этой функции не гарантирует полной защиты.
← →
Free0n © (2005-12-26 12:30) [13]Мне интересно есть ли аналог CreateFile в NativeAPI??
← →
ANB © (2005-12-26 14:28) [14]
> Free0n © (26.12.05 12:30) [13]
Глубоко сомневаюсь.
← →
DDA © (2005-12-26 15:08) [15]Перехват API функций в Windows NT (часть 3). Нулевое кольцо. [Ms-Rem]
Перехват API функций в Windows NT (часть 2). Методы внедрения кода. [Ms-Rem]
Перехват API функций в Windows NT (часть 1). Основы перехвата. [Ms-Rem]
http://www.wasm.ru/article.php?article=apihook_1
http://www.wasm.ru/article.php?article=apihook_2
http://www.wasm.ru/article.php?article=apihook_3
← →
Free0n © (2005-12-26 23:42) [16]To DDA
Я и пишу на основе этих статей, но где там CreateFile???
← →
Eraser © (2005-12-27 02:11) [17]
> Free0n © (26.12.05 23:42) [16]
ZwCreateFile
← →
DeadMeat © (2005-12-27 21:08) [18]
> Мне интересно есть ли аналог CreateFile в NativeAPI??
NtCreateFile (...)
??
---
...Death Is Only The Begining...
Страницы: 1 вся ветка
Текущий архив: 2006.03.19;
Скачать: CL | DM;
Память: 0.51 MB
Время: 0.047 c
