Всем привет! Вобщем в познавательных целях пишу руткит/антируткит движок. Возникло несколько вопросов: 1. Какие существуют методики обнаружения скрытых файлов, или "подменяемых" файлов? Как это делают антируткиты? Насколько сложно работать "ниже" FSDs (насколько я смог понять придется лезть ниже)? 2. Если есть необходимость подменять содержимое файла и его размер и прочее, как к этому лучше подойти? Чтобы подменить размер и всякую другую информацию насколько я понимаю достаточно хукать IRP_MJ_DIRECTORY_CONTROL и IRP_MJ_QUERY_INFORMATION обработчики в FSDs. Думаю что для подмены содержимого файла нужно заняться IRP_MJ_READ (а для коректной работы наверно и WRITE). Как к этому лучше подойти?
