Подскажите пожалуйста как можно выгрузить sfc_os.dll(библиоте отвечает за защиту системных файлов в NT подобных системах) из нескольки процессов. Спасибо
Agent-Buble Для начала нужно открыть процесс, потом создать в нем удаленный поток и оттуда выгрузить либу. Если процесс системный, то нужно прежде всего получить отладочные привилегии. Вот, возьми мою старую утилку (исходники прилагаются). Она как раз для этих целей. Как пользоваться, думаю разберешься. http://webfile.ru/1329642 А вообще есть более простые способы Заюзай в библиотеке sfc.dll функцию под 5м ординалом. С помощью нее можно отключить защиту системного файла на определенное время или на постой. !sfc.dll_<ordinal5> (-1, lpPath, 0); lpPath - WideCharString
nitrotoluol 1. Ну вообще-то sfc.dll для Win2k а для WXP/W2k3 - sfc_os.dll 2. Отключка на минутку. 3. Порядок аргументов обратный. Agent-Buble Если тебя устраивает одна минута, то: Код (Text): typedef DWORD (* SFPEXC)(DWORD, wchar_t *, DWORD); HMODULE sfc_os; SFPEXC psfp_exc; sfc_os = LoadLibrary("sfc_os.dll")); psfp_exc = (SFPEXC) GetProcAddress(sfc_os, (char *)5)); psfp_exc(0, L"C:\\WINDOWS\\system32\\ntoskrnl.exe", -1); З.Ы. Подробней здесь: hxxp://www.codeproject.com/useritems/SetSfcFileException.asp?df=100&forumid=326397&exp=0&select=1596703
Раз уж зашёл вопрос про WFP, то меня интересует обратный эффект - можно ли свой файл добавить в список защищаемых ? Насколько я понимаю файл должен быть подписан Microsoft'ом и поэтому ничего не получится, но всё же.
DelExe Лол! Для совместимости в sfc.dll стоят джампы на sfc_os.dll Посмотри под отладчиком или дизасмом. Поэтому так мы просто избавляемся от необходимости теста версий. Если после удалить файл с кэша - то на постой. Согласен. Просто я с головы писал, поэтому забыл слегка.... Каюсь roman_pro Можно. Нужно: 1. Подписать файл 2. Кэшировать 3. Добавить в список защищаемых Где-то у меня код валялся....
