Требуется: Модуль ядра Windows 2k для перехвата функции... например, NtCreateFile. Перехватить и передать GUI имя exe-шника, запрашиваемый файл, запрашиваемое действие. Можно примерно накидать, как будет это выглядеть или дать ссылки. ----------- Еле-еле нарыл исходники RegMon(в принцип вроде один), но там такой функционал, что упарился разбирать его код. Вдруг кто-нибудь согласится облегчить мои страдания ----------- Спасиба.
Это точно. Модуль готовый врядли найдется, в принципе поиск по форуму поможет найти все необходимое. Подобных тем было ООчень много.
можно создать Event в каталоге \BaseNamedObjects, чтобы ринг3 код его ждал. В перехватчике сделать на него ZwPulseEvent, ринг3 код проснется и запросит, например, через deviceiocontrol параметры все нужные. пока оно не запросило, перехватчик будет ждать. а потом передаст управление в истинную NtCreateFile. или можно создать из ядра пользовательский тред в нужном процессе, но это, имхо, еще больший геморрой.
вот мой ядерный руткит, может поможет чем-то: http://cr4sh.0x48k.cc/blackreleaver-release.rar Great можно создать евент в юзермоде, а в драйвер передать его хендл, после чего ObReferenceObjectByHandle сделать =) но в FileMon-е сделано тупее: там юзерможное приложение через небольшой интервал времени постоянно шлёт драйверу запросы и забирает сруктуры с инфой... и никаких хуков там не используется, там аттачтся девайс, и ловятся IRP-пакеты (этот способ имхо, более желательно юзать т.к. нет хуков - нет палева, хотя насколько я понимаю, это для вполне легальной софтины нужно)
