Примеры частных задач не могли бы вы привести? Ну, кроме перехвата вызовов апи работы с файлами и реестром.
не валяйте дурака... делайте драйвер... в третьем кольце нужно изображать нечто непостяжимое, чтобы это не мог обойти хотя бы школьник...
Это документированая возможность Windows, называется "Аудит доступа к объектам" и включается через "Локальные параметры безопасности". Далее настраиваете SACL для нужных объектов типа ключей реестра и смотрите EventLog. Открытие объекта: Сервер объекта: Security Тип объекта: Key Имя объекта: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mydll.dll Код дескриптора: 200 Код операции: {0,37582302} Код процесса: 1316 Имя файла рисунка: C:\WINDOWS\regedit.exe Основной пользователь: User Домен: MYDOMAIN Код входа: (0x0,0x652F7) Пользователь-клиент: - Домен клиента: - Код входа клиента: - Доступ DELETE READ_CONTROL WRITE_DAC WRITE_OWNER Запрос значения раздела Задание значения раздела Создание подраздела Перечисление подразделов Уведомление об изменениях подразделов Создание связи Привилегии - Счетчик ограниченного SID: 0 Какие хуки, какие драйвера.
Спасибо, этот способ мне в голову уже приходил, но его пришлось отвергнуть из-за двух недостатков: слишком многим объектам придется менять правила аудита (что в свою очередь занимает довольно длительное время), и слишком эээ загрязняется журнал событий. Может, кто-то знает, как избежать этих неприятностей? УПД: 1я проблема отпала, кто подскажет способ справиться со 2й (засорение Event Log'а)?
