Всем доброго! Вопрос для некоторых может показаться совсем глупым, но для себя я никак не могу выяснить что и как. Как можно проследить стандарный(copy\paste) буфер обмена, в режиме ядра? Кто и как организует этот механизм? Заранее всем спасибо!
А в ядре я про такое не слышал "Зачем нам буфер обмена, нам буфер не нужен" всё через IRP. Он скорее организуется в юзермоде.
SteelRat, эх, если бы все так было легко и просто , да ведь нет. Конечно же я с тобой соглашусь, что все организуется через IRP, но исследовать весь поток пакетов на предмет копируемого содержимого не так уж легко, вот и спрашиваю, быть может кто-то уже сталкивался с подобной задачей? Еще одно, наблюдаю одну принеприятнейшую странность, Far'oм откываю файл на чтение, получаю рабочий буфер из FastIORead, а вот при открытии файла на запись, так же получаю буфер, только он не отражает действительной сути, причем адрес буфера всегда один и тотже, для всех файлов, что это значит?
Ну конечно же дополнительный вопрос, по каким атрибутам IRP можно было делать предположения о том, что это IRP есть "Clipboard"?
Мдя... Народ на osronline, утверждает что при копирование в клиборд ядро не принмает никакого участия, да я и не заметил никакой активности в ядре, при копирование данных в клиборд. Есть предложения?
В 2003 SetClipdoardData вызывает NtUserSetClipboardData (syscall 11FA). Наверно и в других виндах так.
reverser, да вроде как есть и в w2k, только это уже будет грубый хак, а мне бы хотелось обойтись без этого. Где-то в инете встречалась информация об утелите, которая мониторила память системы, что это за зверь?
