проблема такая: я реализовал невидимость перехватом!(о как завернул)На всех несистемных процессах работает идеально, файлы, ключи в реестре,процессы скрывает. Новые процессы заражаются сами(createprocess,Loadlibrary, LoadlibraryEx всех разновидностей перехватываю) и всё классно...кроме одного:в Far'е от этого перехвата творится чёрти что,исчезает большая часть файлов и каталогов(при чём не те); поясню , что я перехватываю FindFirstFile'ы и FindNextFile'ы. В чём проблема?
Для скрытия чего-либо лучше использовать перехваты на уровне NativeAPI. Для скрытия файлов тебе надо перехватывать не FindFirstFile/FindNextFile а ZwQueryDirectoryFile
эту статью я читал,и руткит этот я качал. мне нужна готовая функция перехватчик(в этом рутките 2000 строк на асме - я ни[beep] в нём не понимаю)
Нет я не собрал из готового,из всего кода только одна функция не моя - ntquerysysteminformation,потому что я так и не нашёл нормального описания структуры которую она принимает при запросе о процессах.Неужели нигде нет туториала по Native API, где были бы толково описаны нужные мне функции?
я запарился с этой ZwQueryDirectoryFile. сам перехват работает идеально,и вызов настоящей функции из поддельной тоже,почитал туториал с этого сайта нашёл нужные структуры - парюсь уже час - нихрена не работает, там этот сраный Юникод!Указатель на структуру указывает ни понятно на что,иду в цикле по nextentryoffset и смотрю имена файлов по messageboxw, там полная ерунда. Короче такое чувство что ник-то это сам никогда не делал ((
redrebel а ты уверен в правильности самих структур? имеют свойство изменяться от версии к версии, так что, только опытным путем
