Вопрос решен. RtlVolumeDeviceToDosName
Все же еще прошу помощи.. PFILE_OBJECT pFileObject; status = ObReferenceObjectByHandle(Handle, 0,...
PFILE_OBJECT pFileObject; status = ObReferenceObjectByHandle(Handle, 0,...
Перехватываю в ядре (драйвер) функции NtOpenFile, NtCreateFile Задача - отловить процесс записи файла на диск. Легко ловлю последние 2 функции,...
Velheart, спасибо, Вас понял. Все реализовал, все работает. Через семафоры, но без ассоциативных списков. Т.к. в драйвере будет фильтр, отметающий...
а что если заменить мьютексы на семафоры? И служить они будут чисто для синхронизации самого драйвера.. Нарыл функции KeInitializeSemaphore,...
Velheart, спасибо за пояснение, так и думал что в этом касяк. А если семафоры использовать, такое сработает? (В таком случае задержки можно будет...
Спасибо. Руткиты как-то читал, но еще до того как начал программировать драйвер (2 недели занимаюсь).. Почитал про двунаправленный список, но не...
driver, юхермод на Паскале, драйвер на С. Velheart, Щас посмотрю что такое двунаправленный список. Можно поподробнее про семафор? Где бы...
Оперируя статьей http://www.wasm.ru/article.php?article=drvw2k13 И http://www.wasm.ru/article.php?article=drvw2k14 Делаю синхронизацию между...
Four-F, я Ваш поклонник!!!
Руководствуясь статьей http://www.wasm.ru/article.php?article=drvw2k14 и примером из WDK \general\event) Я начал писать синхронизацию драйвера и...
wsd, спасибо.
Народ, у меня такая же задача. Ведется мониторинг открытия файлов и именя надо передавать в юзермод. С удовольствием бы посмотрел примеры...
tylerdurden, посмотрел бы... На данные момент изучаю лит-he и буду перехватывать NTOpenFile и тд. Проверяться будут только некоторые файлы, то...
CrystalIC, написал же, что нет задачи скрыть свою утилиту. Она будет законно устанавливаться на компы, И задача у нее мониторить операции с...
CrystalIC, многоуважаемый, разрешите поинтересоваться, почему предложенное не актуально? Чем оба способа плохи и.. что собственное по вашему...
Недавно я интересовался на форуме, какие функции нужно перехватывать чтобы мониторить операции с файлами. Используя статью по перехвату функций в...
Ох, закритиковали. По порядку. PE_Kill, не скрываю, исходники были взяты из статьи, и переделаны. А смысла пока менять 'ProcHideHook' я не вижу...
Пожалста. Код в студию! library Hide; uses Windows, NativeAPI, Messages; type OldCode = packed record One: dword; two: word; end;...
Имена участников (разделяйте запятой).
