Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Тогда остается либо драйвер либо native-приложение 17.02.06 12:00 Число просмотров: 2475
Автор: amirul <Serge> Статус: The Elderman
|
> 1 MoveFileEx нельзя испольховать потому что он всеголиш
> добовляет записть в
> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
> Manager\PendingFileRenameOperations
> а этот ключь реестра контролирует тодже процес что и фаил
> который надо грохнуть
А как контроллирует?
Можно ли обратиться к этому ключу например через "\\.\GLOBALROOT\REGISTRY\MACHINE\System\ControlSet001\Session Manager"?
Или так:
"\\.\GLOBALROOT\??\GLOBALROOT\REGISTRY\MACHINE\System\ControlSet001\Session Manager"
Или создать в директории объектов симлинк на \REGISTRY и обратиться через свой симлинк. Большинство программ, контроллирующих доступ к файлам/ключам по имени очень плохо работают с симлинками.
> 2 в недрится в процесс который его контролирует тоже нельзя
> потомушчто он устанавливает драйвер перехвата api и
> контролирует OpenProcess и OpenThread
> сответствино и у бить проццес нельзя не зависимо от
> привелегий
Если так, то да.
> так что похоже придётся посать драйвер :-(
Можно еще и native-приложение для BootExecute
> PS речь кстати идёт о сервисе ZoneAlarm :-)
|
|
|
подробно о проекте
Анализ криптографических сетевых...
