Наверняка не знаю. но наверное врядли. 2 vns955 Скорее всего функции Win32API будут показывать усеченное имя файла и следовательно нормальные проги не смогут его открыть. Этот вариант видимо здесь не прокатит. Но если есть интерес то: где мона почитать про native api и ntdll (жел-но на русском и примерами кода) Примеров кода точно не скажу, туторов(на русском!??) тоже Тебе на www.sysinternals.com там много исходников. Доки на ntdll для юзермода (http://undocumented.ntinternals.net) отрывочны, но почти все функции ntdll:NtXXX переходники в ring0 на ZwXXX, а они в большинстве описаны в DDK(в w2k DDK описано еще больше но его у меня нет. Работать с ними страшно геморройно(куча левых параметров). Рекомендую KmdTut by FourF(здесь на WASM'e) ч 11 "Работа с файлами". Все это "вероятно должно" работать и из ntdll. 2 IceStudent На этом же основан один из методов сокрытия (или просто блокировки) веток реестра. Гыгыгы Я то об этом "знал" и тем не менее 2 часа долбал SICE чтобы понять в чем дело
ravenX а мог бы выложить кусок своего - там где ты 0 всунул в середину инеми файла и файловая сист. его не воспринимала? (заранее большое спасибо) не знает ли кто нибуть как юзать InitializeObjectAttributes напрямую из ntdll.dll - у меня ошибка линковщика %) ? 1422499806__NativeHide1.rar
Безпощадный даос Зачем код удалил? Постингом кода я не нарушаю ни одно из правил форума. vns955 InitializeObjectAttributes это не функция из ntdll, а макрос из DDK. Найти его можно в ntddk.h
Ms Rem Видать твой пример слишком большим показался по размерам для поста... vns955 Ms Rem ответил для С++, в asm'е же можно юзать скрипт Four-F из KmdKit. А можно вообще заполнять руками - кста совсем не гиморно.
2 vns955 а мог бы выложить кусок своего - там где ты 0 всунул в середину инеми файла и файловая сист. Так тебе же это не подходит(я так понял)? Ну вообще говоря я файлов с 0 не создавал а только device и symbolic link для него. Но принцип в том что строки в ядре идут с размером(см RTL_STRING aka UNICODE_STRING) сл-но не парсатся на \0 посему все функции native api должны работать с такими именами. За кодом тебе в KmdKit & KmdTut ежели на асме else смотри DDK.
ravenEx Так тебе же это не подходит(я так понял)? в принципе мне так тоже подойдет не могу понять почему не создает файл следующий участок кода (ntStatus - true, никаких ошибок не возвращает)? _1092644986__Hide.c
ну ... тут я поспешил - не заметил что 1. не находится адрес функций в длл (выходит по exit(1)) 2. неправильно инициализируются структуры (память забыл выделить) ну а этот то код почему не работает %( - вроде уже ошибок нет код NTSTATUS = c0000005 _594513982__NativeHide1.rar
Повторно привожу код обработчика ZwQueryDirectoryFile (если его опять не удалят). 1313835063__fhide.txt
А я исправленный код vns955... P.S. я не С++ программер и потому пример немного не оч _1415794256__NativeHide.7z
