Чем можно писать файл кроме WriteFile?

Чем можно писать файл кроме WriteFile?
P.S.
Прога как-то пишет файлы, а я в Olly это не могу никак отловить...
Как же она это делает?

 

из наиболее популярного MMF может быть.

 

во-первых надо отметить, что врайтфайл бывает двух типов: WriteFileA/WriteFileW
во-вторых оно может это делать через crt: fopen / fprintf(or hundreds of similiar stuff) / fclose.

 

ZwWriteFile. либо если используется филемапинг - следить за ZwMapViewOfSection. ну и дальше по стеку вверх

 

WritePrivateProfileString. Или устаревший функциональный мусор от Windows 3.11, который всё ещё поддерживается.

 

CyberManiac
все равно ж будет ZwWriteFIle.

Так что надо и ZwWriteFile хукать и ZwCreateSection/ZwMapViewOfSection.

 

Ух-ты! Спасибо!
Что-то я и не подумал про ZwWriteFile!
С помощью неё и пишется!!!

А что такое MMF? Не слышал...

WriteFileA/WriteFileW
Не, ну это понятно...
crt: fopen / fprintf(or hundreds of similiar stuff) / fclose
Это что через прерывания DOS? Типа, консольная DOS'кая прога?
Или имелись ввиду какие-то устаревшие функции?

Да, спасибо, за ZwWriteFIle ZwCreateSection/ZwMapViewOfSection!!!
Что-то совсем забыл про такие...

Да, кстати, а есть ещё и DeviceIOControl... Через неё тоже, наверное, можно что-то куда-то писать...

 

Это хто тебе такую глюпость сказал?

 

IoWriteFile

 

Memory-Mapped Files.
Короче, CreateFileMapping (ZwCreateSection) и MapViewOfFile (ZwMapViewOfSection).

Чето ты перекурил немножко.) A/W только у тех кернел32 апи, что строки принимают.

это к тому же WriteFile -> ZwWriteFile сводится

NeuronViking
это из ядра уже, ты че-то немножко не в теме.

Обычно - нет. Только если не супер-пупер драйвер 3rd-party, который это специально поддерживает.
А по дефолту - нет.

 

А как насчет sysenter/int 2E?

 

NtFlushVirtualMemory.
Shelwien
А что Sysenter, юзает чтото иное ??

 

Ну глянь как-нибудь для общего развития, как реализован ZwWriteFile.

 

Shelwien
Мальчег я уже мильён раз её и не только видел, что я там новое увижу ?

 

Shelwien
Мальчег, тут, вероятно, имелся в виду хук на NtWriteFile в ядре. Тогда и сисентер и все остальное туда приведет.
А вам не стоит расписывать другим что нужно делать. Им виднее, знаете ли. А такую манеру общения не очень любят.

 

Даже если я неправильно полнял, что "имелось в виду" - это еще не повод хамить.
А перехват чего-то в ядре из ollydbg - это интересно.

 

Shelwien
Вы сомневаетесь что можно только с помощью оли писать в системное адресное пространство ?
А хамить - это кто есчо хамить начал..