Ms Rem Гы! Мне тут последний ДохтурВеб на днях обложил матами программу на Delphi из двух или трех строк. Увидел там какой-то троян А чтение памяти ЧУЖОГО прооцесса - это довольно подозрительная операция, надо сказать. Как минимум один антикейлоггер на этом деле верещит, как резаный. Хук - это АБСОЮТНО законная операция, рекомендованная лучшими собаководами. Этим пользуются все, начиная от лохотечевского драйвера мыши и кончая Punto Switcher'ом. В отличие от чтения служебных областей адресного пространства процесса. И если какой-нибудь передурошный фаер попробует обломать мой любимый Punto Switcher - отправится в топку немедля.
Отличие Punto Switcher в том, что он не пишет в память чужого процесса, а подгружает свою длл с помощью SetWindowsHookEx. При этом фаерволл просто спросит разрешения добавить эту длл в список довереных. А при записи в память процесса - отрубит без взяких колебаний его от сети.
Ms Rem Не понял, где отличие? Я для этих целей использую тоже SetWindowsHookEx, а GetCommandLine тоже ничего не пишет в память чужого процесса (ну есть пара локальных переменных в DLL, но это ведь не конец света). Он всего лишь получает адрес буфера, где хранится командная строка данного процесса, причем делает это абсолютно стандартным способом. Публикация этой строки, скажем, через MMF - тоже абсолютно стандартная операция, рекомендованная производителем ОС. Так что какие могут быть претензии к предложенному способу получения командной строки? В отличие от всякой нестандартной ..еты, которая непонятно что и непонятно зачем читает не из своего процесса. А вдруг оно пароли тырит? В таких случаях в армии положено сначала стрелять, и только потом уже выяснять, чей там труп упал в сугроб Сферический фаер в вакууме может реагировать на данную ситуацию как угодно, в т.ч. вообще ничего не спрашивать, а просто форматнуть винт и покончить с угрозой навсегда. Насколько я понял, речь идет об Outpost, который своей придурью и мертвого задолбает. Не надо ставитьего в пример, это будет очень, очень плохой пример.
2CyberManiac: >> Не надо ставитьего в пример, это будет >> очень, очень плохой пример Ну тогда приведи пример лучше..
Интересно, а этот способ будет работать для негуевых приложений? Обычно ведь нужно получить командную строку именно из них, а SetWindowsHookEx работает только для процессов в которые загружена user32.dll и которые имеют очередь сообщений.
<Она не документирована, и потому относится к разряду "грязных хаков"и годится только для тех программ, которые не собираются дожить до следующей версии Windows, где структуру PEB могут и поменять> весьма сомнительно, что её поменяют, она хоть официально и недокументирована, но тем не менее значительная часть системного софта предпочитает использовать PEB напрямую, весьма проблематична будет жизнь последних при смене PEB. это почти равно что SEH изменить. Очень сомневаюсь, что именно эта структура будет изменена.
