Перехват ZwEnumerateValueKey.

Уже битый час бьюсь над проблемой.
Суть в том, что перехватываю ZwEnumerateValueKey и заменяю своей NewZwEnumerateValueKey.

Code (Text):

1. Function NewZwEnumerateValueKey(
2.              KeyHandle: dword;
3.          Index: ULONG;
4.          KeyValueInformationClass: KEY_VALUE_INFORMATION_CLASS;
5.          KeyValueInformation: pointer;
6.          Length: ULONG;
7.          ResultLength: PULONG):NTStatus; stdcall;
8. begin
9.     Result := TrueZwEnumerateValueKey(KeyHandle,
10.                             Index,
11.                              KeyValueInformationClass,
12.                              KeyValueInformation,
13.                              Length,
14.                              ResultLength);
15. end;

Но после такой замены ни одного ключа в реестре не видно.
Метод перехвата взят из статьи Ms-Rem'а (Перехват API функций в Windows NT (часть 2)).

 

ошибка скорее всего не в самом обработчике, в нём же ничего не делается, кроме вызова оригинальной ф-ции =)

 

Таким же методом я запросто прячу файлы и процессы, а с реестром какая-то проблема.

 

каим таким ? если все что делает это вызывает ностоящие свое значение скорее всего ты где то закосячил с хуком и из-за этого настоящая функция не вызываетсяя или выдает ошибку из-за этого и не работает ничего ...

 

Функция вызывается точно (проверено банальным MessageBox'ом). А метод перехвата взят из статьи Ms-rem'а, часть 2.

P.S. Хотя бы дайте рабочий пример перехвата ZwEnumerateValueKey.
(Препарировал AFXRootkit2005, но он тоже отказывается работать)

 

LB_K
Поищи по форуму, когда то я выкладывал рабочий код... да и на крайний случай в гугле поищи.

 

http://clickf1.xakep.kz/?p=17