хук на NtOpenFile

Тема в разделе "WASM.BEGINNERS", создана пользователем denmoroz, 13 сен 2006.

  1. denmoroz

    denmoroz New Member

    Публикаций:
    0
    Регистрация:
    10 июл 2006
    Сообщения:
    52
    Адрес:
    Беларусь
    Хочу в своей проге реализовать перехват NtOpenFile.
    Как узнать имя открываемого файла и имя файла программы, которая этот файл открывает?
     
    denmoroz, 13 сен 2006
    #1
  2. nermest

    nermest New Member

    Публикаций:
    0
    Регистрация:
    3 июл 2006
    Сообщения:
    157
    намути Гарри Нэббета. В магазине он стоит всего 100 р.
     
    nermest, 13 сен 2006
    #2
  3. MegaZu

    MegaZu New Member

    Публикаций:
    0
    Регистрация:
    22 июл 2005
    Сообщения:
    290
    По хэндлу

    PsGetCurrentProcess вернет имя программы в контексте которой сработал хук
     
    MegaZu, 13 сен 2006
    #3
  4. denmoroz

    denmoroz New Member

    Публикаций:
    0
    Регистрация:
    10 июл 2006
    Сообщения:
    52
    Адрес:
    Беларусь
    MegaZu
    Это понятно. Не понятно КАК?

    За PsGetCurrentProcess огромное спасибо!
     
    denmoroz, 13 сен 2006
    #4
  5. MegaZu

    MegaZu New Member

    Публикаций:
    0
    Регистрация:
    22 июл 2005
    Сообщения:
    290
    Учти что для правильного определения имени, надо сначала найти смещения процесса System. И прибавлять к результату PsGetCurrentProcess это смещение. Там и будет имя требуемого процесса.

    Для определение имени по хендлу:
    ObReferenceObjectByHandle
    ObQueryNameString
     
    MegaZu, 13 сен 2006
    #5