Как спрятать параметр в реестре, как прятать фaйлы и порт? (на Delphi)

Прочитал я статью Ms-Rem'a "Перехват API функций в Windows NT (часть 1). Основы перехвата". Всё понял кроме того, как прятать файлы! Объясните, пожалуйста, как прятать параметры в реестре и как прятать файлы и порты! (Если можно, то с кодом)

Заранее благодарен...

 

Ну, файлы можно прятать разными методами. Всякие нехорошие руткиты прячут файлы перехватом функций в ядре. Судя по названию статьи (саму статью я ещё не читал), там описаны методы перехвата в юзере: через хуки IAT, например. Проводник получает листинг файлов в текущем каталоге через API. Так что, перехват FindFirstFile + FindNextFile должен сработать в данном случае. В чём же загвоздка?

 

Quantum
А как на счёт параметров вреестре?

 

Если все без разбору прятать - можно так глубого спрятать что даже сама винда не увидит твой ключ в реестре и не загрузит прогу из авторана. А если прятать от всех процессов, кроме, загрузчика авторанов, то можно легко обнаружить, сделав чтение реестра из нужного процесса.

 

"А как на счёт параметров вреестре?"

RegEnumKeyEx
RegEnumKey
RegEnumValue

 

RTFM. Дизасмишь kernel32.dll, смотришь, какие функции из ntdll.dll вызываются функциями, работающими с реестром. Потом перехватываешь найденные функции Native API в режиме пользователя или режиме ядра и фильтруешь возвращаемые значения. Неббета почитай.

 

denmoroz
Где ты здесь делфи увидел?