Подправил sfcfiles.dll. Забил в отложенное переименование файла (PendingFileRenameOperation). Но операция не сработала, т.к. по видимому файл уже занят (если указать другое имя, работает). Загрузил smss в Olly Там нашел строки по загрузке данной ДЛЛ. Но пока что не нашел, раньше это или позже отложенного переименования делается, интуиция подсказывает что вначале грузится ДЛЛ. Итого, получается что никоим образом заменить sfcfiles.dll не получается. Единственный способ - покластерная правка на диске. Но способ плох тем что на него кричат проактивные защиты. Есть еще идеи как отучить систему защищать некоторые файлы? (именно после перезагрузки компа)
да помоему какраз во время переименования и юзаецо. смотри smss!SmpProcessFileRenames, у меня вин7, там несколько другой механизм проверок.
Простите за незнание, но что это "smss!SmpProcessFileRenames" и как его посмотреть в олли, или где это можно посмотреть...
процедура в smss.exe, производит отложенные ренеймы файлов. на хп у меня ешё проверяло являецо ли файл защищенным (юзая sfc) и переименовывала такой файл только при наличии AllowProtectedRenames (или както так) ключа реестра.
