Не могу понять как они ищут файлы. Явно не через FindFirstFile/FindNextFile но и через драйвер делать это - кажется смысла нету... Спасибо.
Почему это смысла нет? Как раз-таки наоборот - файл может быть скрыт от юзермода и обнаружить/прочитать его можо только в r0
Я думал что смысла нету, потому что, скажем, в юзермоде можно искать через прямой вызов сервиса ZwQueryDirectoryFile, а в ядре ну тыща + 1 способов скрыть файл, а занятые файлы (открытые в эксклюзивном режиме) вроде антивирусы не могут сканировать. В DDK есть пример мини-фильтра Но перебирать файлы через него вроде не получится.
medstrax1 Филемон говорит, что кладет сюда: \Documents and Settings\%CurrentГыук%\Local Settings\Temp Или вопрос в том, как его успеть скопировать?
Пцц еще чат устройте в топике, засиратели. Потом из-за таких как вы полезной информации в топиках не найдешь. Неужели так трудно создать свой топик и читать правила.
FindFirstChangeNotification http://msdn.microsoft.com/en-us/library/aa364417(VS.85).aspx Ловит изменения , в том числе в каталоге. Не уверен, что поможет. Еще можно по олькой запустить, поставить бряк на удаление.
Да как и DrWeb в Temp - директорию копирует и подгружает свой драйвер и загрузчик к нему. Может посекторно попробовать?
ГМЕР дров удаляет. KIS , например, при запуске гмера пытается воспрепятствовать установке драйвера (имея в виду запись в реестр). До того, как киса встаёт на дыбы, файл драйвера успевает появиться и удалиться. Вероятно, маппинг. Если бы файл тупо не читался, сгодилось бы и посекторно.
Предлагаю дышать глубже. В посте за номером 7 про бряк уже было сказано. Я обошелся вообще очень простыми средствами. Кстати, не гарантирую_это , но перехват NtLoadDriver может и не дать ожидаемого результата. Ы?
reader323 Предлагаю (не настаиваю) быть добрее к людЯм. Не исключено, что сегодня человек не умеет ставить бряки, а завтра научится. Ведь бывают же такие люди?
Все на сто процентов наоборот. Хорошо скрытое в ядре тебе не найти в юзермоде. Как говорится - против лома только лом. Рекомендую глубже изучить архитектуру NT, тогда подобные вопросы отпадут. 2 All Очень часто наблюдается такая тенденция, когда форумчане грубят друг другу абсолютно на ровном месте, разводят флуд и срачь. Тут ничего не остается, кроме как закрывать топик и/или банить. Внушение не помогает, ибо это на 90% следствие возраста и/или каких-то еще сопутствующих причин. Не вынуждайте делать ни того, ни другого. Думайте, прежде чем что-то сказать.
имелось ввиду, что вызов через сискол ZwQueryDirectoryFile proc near mov eax, 91h mov edx, 7FFE0300h call dword ptr [edx] retn 2Ch покажет все скрытое в юзермоде, а бороться со скрытием в драйвере вещь практически бесполезная. Наверное, дальше вопрос нужно развивать в ветке kernel задаваясь вопросом как искать файлы используя драйвер. Я думаю, что методы используемые скажем в Rku - антивирусы не используют, в силу не документированности и прочих факторов. И все делается как-то относительно просто.
у GMERовского драйвера, который тут оказался офтопом, как раз в импорте наблюдается ZwQueryDirectoryFile. Смею предположить, что аналогичное исследование других аверских дров поможет внести ясность. Вообще-то, после прочтения этого топика мой межушный узел уже сутки пребывает в пресловутом когнитивном диссонансе. Или погоды такие стоят...
он шлет ирп напрямую драйверам файловых систем и опционно использует zw апи для кросс-перечисления не знаю как работают антируткиты вы все полезли в идиотский оффтоп
