Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Странно 09.01.06 18:55 Число просмотров: 2203
Автор: amirul <Serge> Статус: The Elderman
|
> На данный момент удаление файлов/ключей реестра. А тут
> всякие HKLM\Software появляются непонятно когда..
Их кажись монтирует smss. У него даже вызов специальный есть NtInitializeRegistry(). Кстати, тоже системный сервис, а следовательно легко перехватывается, а значит можно очень точно отловить момент появления реестра.
> [UPD]
> Похоже с файлами проблема решена. Удалять их можно и из
> boot-time (по кр мере если драйвер в Base группе). Только
> делать это надо по путям типа \Device\HarddiskVolume1\....
Вот это странно. Я специально ставил драйвер в boot но после ftdisk-а.
Так вот, при инициализации ftdisk создает всего одно устройство - FtControl, когда вызывался мой DriverEntry ни одного HarddiskVolume еще не было. Появлялись они уже после того как винда проинициализировала все boot-драйвера и начала рассылать IRP_MN_ENUMERATE_DEVICE_RELATIONS. Более того, симлинки в \GLOBAL??\ (эти самые C:, D: и т.д.) создаются одновременно с самими девайсами (в той же самой FtpPartitionArrived).
Ты уверен, что именно boot-драйверу доступны HarddiskVolume?
|
|
|
подробно о проекте
Анализ криптографических сетевых... 
