Сделал перехват через таблицу импорта CreateFileA и CreateFileW, все по Рихтеру.
Все работает, но не из всех программ вызовы перехватываются, в частности в FARе.
Какими функциями API можно еще открыть файл? Пробовал OpenFile — не помогает.
Здравствуйте, Аноним, Вы писали:
А>Сделал перехват через таблицу импорта CreateFileA и CreateFileW, все по Рихтеру. А>Все работает, но не из всех программ вызовы перехватываются, в частности в FARе. А>Какими функциями API можно еще открыть файл? Пробовал OpenFile — не помогает.
1. Возможно CreateFile делает не far.exe, а его модуль. Поэтому нужно править еще и таблицу импорта всех модулей.
2. Проверить правильно ли модифицируется таблица.
Re[2]: Перехват CreateFile(+)
От:
Аноним
Дата:
28.02.03 17:29
Оценка:
SVV>1. Возможно CreateFile делает не far.exe, а его модуль. Поэтому нужно править еще и таблицу импорта всех модулей. SVV>2. Проверить правильно ли модифицируется таблица.
Еще есть ZwCreateFile, ZwOpenFile и т.п. Но это все детский лепет — одни проблемы. Правильнее и проще написать 2 маленьких драйвера — один под 9х хук на IFS, другой — фильтр FS nt.
SVV>>1. Возможно CreateFile делает не far.exe, а его модуль. Поэтому нужно править еще и таблицу импорта всех модулей. SVV>>2. Проверить правильно ли модифицируется таблица.
А>Но у FARа нет дополнительных модулей...
А>Сделал перехват через таблицу импорта CreateFileA и CreateFileW, все по Рихтеру. А>Все работает, но не из всех программ вызовы перехватываются, в частности в FARе. А>Какими функциями API можно еще открыть файл? Пробовал OpenFile — не помогает.
Могу я попросить тебя кинуть этот исходник мне на мыло? Исправить эту проблему я не смогу (маленькый исчо =)), просто я когда то пытался нечто подобное сделать, но сдался из за недостатка знаний и упорства...... =(
______________
Йорз синсерели
Илья_Z
Re: Перехват CreateFile(+)
От:
Аноним
Дата:
04.03.03 16:39
Оценка:
Здравствуйте, Аноним, Вы писали:
А>Сделал перехват через таблицу импорта CreateFileA и CreateFileW, все по Рихтеру. А>Все работает, но не из всех программ вызовы перехватываются, в частности в FARе. А>Какими функциями API можно еще открыть файл? Пробовал OpenFile — не помогает.
Насколько я знаю, FAR не использует CreateFile, а работает напрямую через прерывания
Откуда такие сведения?
И желательно пример _такого_ кода в фаре в студию!
А>Насколько я знаю, FAR не использует CreateFile, а работает напрямую через прерывания
Здравствуйте, Andrew S, Вы писали:
AS>Еще есть ZwCreateFile, ZwOpenFile и т.п. Но это все детский лепет — одни проблемы. Правильнее и проще написать 2 маленьких драйвера — один под 9х хук на IFS, другой — фильтр FS nt.
и будет это взрослый лепет
проблем станет больше, но зато они будут — другие!
... << RSDN@Home 1.0 beta 6a >>
Valery A. Boronin, RSDN Team, linkedin.com\in\boronin
R&D Mgmt & Security. AppSec & SDL. Data Protection and Systems Programming. FDE, DLP, Incident Management. Windows Filesystems and Drivers.
Ну, по крайней мере проблемы будут несколько другого порядка — например, почему не работает SoftIce, где здесь возникает GPF и почему же эта гадость виснет так быстро
Зато после отладки это все начнет работать как часы, без тормозов и глюков. Перехват функций — это самый последний метод, думается. Даже хуже, чем драйвер написать, тем более, такой (относительно) простой.
AS>>Еще есть ZwCreateFile, ZwOpenFile и т.п. Но это все детский лепет — одни проблемы. Правильнее и проще написать 2 маленьких драйвера — один под 9х хук на IFS, другой — фильтр FS nt.
V>и будет это взрослый лепет V>проблем станет больше, но зато они будут — другие!
V>
G>И какие проблемы с перехватом функций в драйвере?
у всех — свои
... << RSDN@Home 1.0 beta 6a >>
Valery A. Boronin, RSDN Team, linkedin.com\in\boronin
R&D Mgmt & Security. AppSec & SDL. Data Protection and Systems Programming. FDE, DLP, Incident Management. Windows Filesystems and Drivers.
Существуют еще товарищи, которые наивно полагают, что фар — это ДОСовское приложение.
