Доброго времени суток. При изменении пароля на вход в Windows, в процессе lsass.exe сервис ZwFlushKey вызывается только из двух функций: Lsasrv!LsarSetSecret Samsrv!SamrCloseHandle В lsasrv есть функции LsarOpenSecret, LsarQuerySecret, LsarCreateSecret, LsaIEnumerateSecrets Буду длагодарен за любую инфу по ним.
Немного запутанный вопрос. Что именно нужно? Параметры? Структуры? Исходники? И по которым именно функциям? По всем сразу что-ли?
Параметры, структуры по: LsarSetSecret LsarOpenSecret LsarQuerySecret LsarCreateSecret LsaIEnumerateSecrets
Пытаюсь вызвать lsasrv!LsarOpenPolicy(). lsasrv.dll загружается через kernel32!LoadLibrary(), DllMain выполняется, но кроме DisableThreadsLibraryCalls в DllMain ничего больше не выполняется. При вызове LsarOpenPolicy возникает исключение при входе в критическую секцию, изза того, что структура RTL_CRITICAL_SECTION не инициализирована(заполнена нулями). Если кто с этим сталкивался, подскажите. LsarOpenPolicy( IN PLSAPR_SERVER_NAME SystemName OPTIONAL, IN PLSAPR_OBJECT_ATTRIBUTES ObjectAttributes, IN ACCESS_MASK DesiredAccess, OUT PLSAPR_HANDLE PolicyHandle ):NTSTATUS
Посмотрел по ссылке, эту структуру заполняет LsapInitLsa() Она вызывает LsapAdtInitialize(), которая вызывает LsapAdtWriteLog() - она ошибку возвращает STATUS_INVALID_HANDLE, непонятно почему.
Clerk Я знаю что это RPC-серверная процедура - может через RPC/LPC попробуешь? Кое-что придется поресерчить - зато 100% будет работать LsapInitLsa() - точно нельзя повторно вызвать! не предусмотрено билли! я это точно знаю, сам месяц пытался. Так сделано. Можно только заново весь ЛСАСС переписать
