Хотя я рано обрадовался.При такой записи он блокирует обращение ко всем ветвям реестра по ключу...
Нашел причину. Как говорил Козьма Прутков(или фиг его как там) -зри в корень, а корень-ядро. Так вот , RegCreateKeyEx в advapi32.dll делает некую...
Народ ХЭЛП. Пытаюсь отловить запись в реестр, точно также как я и отлавливал обращение к файлу. Полностью отключить обращение к реестру я могу , а...
ну это я понимаю,но фаил с правами записи,не означает,что в него запишут,я хочу конкретно запись в файл отловить.Как вы думайте,вышеописанный мной...
как вообще такой механизм реализован в антивирусах,при написании поведенческого анализатора?
перехватывать сразу ntWriteFile?А как из его параметров выташить имя файла? Спасибо,на счёт такой ситуации с хэнделами я не подумал.А что,если...
Возник вопрос.Вот если мне необходимо отловить запись в какойто конкретный файл,как быть? Я вижу следующее решение: отловить ntcreatefile и если...
heapmax юзал.Так можно задать максимальный размер кучи.ОНО?
а вообще ,при работе с оператором new имеет место быть следующая ситуация: поскольку объём кучи ограничен,память может оказаться исчерпанной.Вэтом...
heapCreate для этого вам разве не подходит? и в условиях недостатка памяти-это в каком плане?когда вы выйдите за пределы памяти статистического...
не моглибы вы поточнее сформулировать вопрос. макс.размер кучи указывается в heapcreate.
Ну вот отловил я NtCreateFile, а как узнать какой именно процесс вызвал его?Это вообще возможно?
Все получилось..!!!!!!Clerck тебе отдельное огромное спосибо!+500
Вот сделал как в примере: NTSTATUS DeviceControlRutine(IN PDEVICE_OBJECT fdo,IN PIRP Irp) { HANDLE buff; NTSTATUS status=STATUS_SUCCESS;...
Уважаемый Clerk, простите меня за стиль и безграматность написания. Вот исправил, но все равно не пашет. Пишет NTSTATUS DeviceControlRutine(IN...
Даже при таком изменение толку нет:...
Но при таком изменении TREST!=STATUS_SUCCESS
Clerk Вы имели ввиду под - IRQL_NOT_LESS_OR_EQUAL. В KeSetEvent нужен указатель на обьект. ,следующие изменения:...
Clerk,так и так юзаю,и ничего не выходит.
Clerk,не совсем понял смысл вашего сообщения.Поясните пожалуйста.
Имена участников (разделяйте запятой).
