Как отследить запуск процесса, приложения, службы? Hook.

← →
Иван (2003-07-29 22:14) [0]

Как отследить запуск процесса, приложения, службы? Hook.
Hi, All.
1. Как отследить запуск любой программы(не только оконного приложения) до того, как она начнет свое выполнение?
Ведь есть же множество антивирусных программ, которые это делают.
На www.ferststeps.ru нашел толковую информацию о hook"ах. Можно поставить хук на создание окна, но запуск службы, процесса или консольного приложения этим хуком, увы, не словишь.
2. Как перехватить обращение к файлу до того, как обращающееся к нему приложение получит доступ к этому файлу. Ведь AVP не дает открывать зараженные документы, верно?

← →
Игорь Шевченко © (2003-07-30 10:10) [1]

1) Установить глобальный перехватчик на функцию CreateProcess (API Hooking)

2) Установить драйвер фильтра файловой системы (сложнее, но надежнее) или перехватывать функцию CreateFile (опять же, API Hooking)

← →
Иван (2003-07-30 14:57) [2]

Игорь Шевченко © (30.07.03 10:10)
Сенкс. Юзаю.
Если у кого есть ссылки, где есть информация касающаяся хуков, подкиньте please. Желательно с примерами для Delphi, а то на
www.firststeps.ru все в С-ных исходниках и непонятно, какой тип соответствует использованному в С.

Как отследить запуск процесса, приложения, службы? Hook. Найти похожие ветки