JCronuz процесс может не иметь окна, кривой способ имхо
UCHAR =>char или byte(1 байт), но никак не widechar(2 байта)
для скрытия ключей/записей надо перехватывать ZwEnumerateKey/ZwEnumerateValueKey
можна
хукай эти самые функции, и не давай открыть свой процесс от артмани достаточно юзермода если всетки в ядро лезть то тебе нада функции...
мне кажеться некоректно удалять файл как только его открыли с флагом DELETE в голову приходит следующий вариант, возможно и не правильный: хукать...
мб перечислять процессы, и если там уже есть 8 твоих процессов то не запускать новый
посмотри тут http://www.wasm.ru/forum/viewtopic.php?pid=175899#p175899
http://www.wasm.ru/forum/viewtopic.php?pid=175899#p175899
если перехвачен только ZwOpenFile используй IoCreateFile
функция сравнения строк, например такая: function cmpwclen(Str1: PWideChar; Str2: PWideChar; Len: integer):...
когдато писал функцию удаления директории и ничего не стоит переписать этот код под поиск файлов (тут правда на делфях, но смысл понять думаю...
Когдато писал такое, вот вроде правильный код case FileBothDirectoryInformation : { FileBothDirectoryInfo =...
Mika0x65 спасиба, думаю это поможет
Задача такая: где-то в памяти находится код и нам известен адес его начала, также есть определенный адрес, который попадает куда-то в средину...
в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd, там значение Start можно поставить в 4 и перезагрузится, или просто удалить...
угу, поэтому перехват NtOpenProcess имхо самый простой и удобный вариант
от Процес эксплорера спасет :)
nickkadrov думаю перехват NtOpenProcess может тебе помоч
тут CreateUserThread вопщемто является прототипом RtlCreateUserThread поэтому csrss надо информировать самому
Имена участников (разделяйте запятой).
