Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Обратится можно :-) 17.02.06 18:54 Число просмотров: 2205
Автор: Tamas Статус: Member
|
> > 1 MoveFileEx нельзя испольховать потому что он
> всеголиш
> > добовляет записть в
> >
> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
> > Manager\PendingFileRenameOperations
> > а этот ключь реестра контролирует тодже процес что и
> фаил
> > который надо грохнуть
>
> А как контроллирует?
> Можно ли обратиться к этому ключу например через
> "\\.\GLOBALROOT\REGISTRY\MACHINE\System\ControlSet001\Sessi
> on Manager"?
>
> Или так:
>
> "\\.\GLOBALROOT\??\GLOBALROOT\REGISTRY\MACHINE\System\Contr
> olSet001\Session Manager"
>
Обратится можно :-)
сиё чюдо считавает текушие значение параметра
с определённым интервалом... примерно 500 ms
и если он изменяется в поредённою строну меняет его обратно
> Или создать в директории объектов симлинк на \REGISTRY и
> обратиться через свой симлинк. Большинство программ,
> контроллирующих доступ к файлам/ключам по имени очень плохо
> работают с симлинками.
>
> > 2 в недрится в процесс который его контролирует тоже
> нельзя
> > потомушчто он устанавливает драйвер перехвата api
> и
> > контролирует OpenProcess и OpenThread
> > сответствино и у бить проццес нельзя не зависимо от
> > привелегий
>
> Если так, то да.
>
> > так что похоже придётся посать драйвер :-(
>
> Можно еще и native-приложение для BootExecute
>
> > PS речь кстати идёт о сервисе ZoneAlarm :-)
|
|
|
подробно о проекте
Анализ криптографических сетевых...
