Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Вот это "что надо" и интересно. 09.01.06 18:08 Число просмотров: 2355
Автор: amirul <Serge> Статус: The Elderman
|
> > Еще интересно узнать, что именно ты хочешь получить.
> Может
> > получится перепоставить задачу, чтоб таких извращений
> не
> > требовалось?
> Получить хочу драйвер для удаления спайваров на макимально
> ранний момент. Вернее драйвер уже получил, причем
> прописывается он три раза - на boot, system и auto. Первый
> загружается, предосталяет интерфейс и работает. Другие два
> чисто при загрузке делают что надо и выходят из DriverEntry
Вот это "что надо" и интересно.
> с STATUS_UNSUCCESSFUL. Особенно некрасиво то что каждому
> драйверу пришлось делать отдельный файл. Тк один файл на
> всех винда отказывается грузить, видно видит что такой файл
> уже промаплен как другой драйвер и ругается. Кстати
Так может тебе NtLoadDriver перехватить? Практически уверен, что отлуп ты получаешь уже внутри, но внутрь тебе не особо и надо. На входе ты получишь путь в реестре к ветке с твоим сервисом. Вот и создай MySystemService и MyAutoService, а в захученном NtLoadDriver-е проверяй DriverServiceName и если запускается нужный сервис, делай работу и выходи со своим неудачным статусом.
> отдельный вопрос - насколько безопасно удалять/подменять
> .sys файл драйвера после того как он загрузился?
Совершенно безопасно. Переименовать и вместо него писать что угодно. Так можно заменить даже ntoskrnl.exe (только система потом может отказаться грузиться). Да, еще вполне возможно придется побороться с SFC, но это уже второй трудный вопрос :-)
|
|
|
подробно о проекте
Анализ криптографических сетевых...
