Как "легально" и универсально обойти SFP (надо заменить dll в system32), кроме как менять ключи в реестре и перезагружаться; менять размер кэша до 0 в sfc (к томе же у меня на работе эти способы не срабатывают, хоть я и имею права администратора); safe mode. Пересмотрел 29а, но как-то там маловато по этой теме. Можно ли перехватом ZwCreateFile и ZwOpenFile? Я это спрашиваю, т.к. слабоват в драйверах и на проверку этого наверно у меня уйдет много времени. Поэтому хочу узнать стоит ли игра свеч. Что вообще могут драйверы с этим сделать.
Всё могут драйверы Только ZwCreateFile и ZwOpenFile тебе для этого не нужны. Я обходил SFC путем перехвата NtNotifyChangeDirectoryFile из драйвера, и обработкой соответствующих сallback-ов.
