привет..Перехватіваю функцию ZwSetValueKey из run32dll с помощью Detours Сравниваю результаты с Regmon.exe получается примерная картина Regmon 1.Установа значений ветки А 2.Установа значений ветки В 3.Установка значеий вентки А У меня получается какой-то "проскок" 1.Установа значений ветки А 2.Установа значений ветки А Т.е. вообще не приходит на ветку В Уже незнаю даже что думать-как такое может быть? Может есть другие функции Zwххххх для установки значений в ветке реестра? Спасибо..
RegMon использует ядерный драйвер, а Detours работает в режиме пользователя. Может какое-то значение реестра начинает устанавливаться непосредственно из режима ядра
coocky, ты должен ставить перехват(detours) на конкретную прогу, т.к. это решения для одного процесса.
Извини,но тут вообще не в тему.. Я все это знаю.. Только вот не мог предположить, что могут такие простые вещи через драйвер писаться.. А дела в том, что я просто слежу за изменением записи в реестр,когда открываешь Панель управления-> специальные возможности и в появившимся окне диалоговом всего лишь ставлю галочки (во вкладке "звук") и нажимаю применить.. Сейчас посмотрел через Олли.Действительно..процесс rundll32.exe вызывает RegSetValueExW только для тех веток, что и я перехватываю.. Неужели другие те,что не перехватываю- пишутся из ядра? Все таки как-то очень все сложно для 2-3 значений...
