Наши проекты:
Журнал · Discuz!ML · Wiki · DRKB · Помощь проекту |
||
ПРАВИЛА | FAQ | Помощь | Поиск | Участники | Календарь | Избранное | RSS |
[18.97.9.168] |
|
Страницы: (2) [1] 2 все ( Перейти к последнему сообщению ) |
Сообщ.
#1
,
|
|
|
[удалено модератором] Нужно определить посредством ПЕРЕХВАТА АПИшных функций запуск нового приложения в системе. Как это лучше реализовать? Очень нужно. Заранее СПАСИБО.
Эта тема была разделена из темы "Внедрение библиотеки в чужой процесс" |
Сообщ.
#2
,
|
|
|
На чистом VB никак
|
Сообщ.
#3
,
|
|
|
[удалено модератором]
Перехват функций в windows нету. Есть издевательство, которое не применяется не в одной нормальной программе. Все серьезные программы юзают специальную возможность в windows для отлова создания процессов, но из VB это возможность недоступна, совсем. Это мне напоминает маразм из области "скрыть процесс от диспетчера задач". Куча статей по всему инету на эту тему - и ни один антивирус от диспетчера не спасается. Почему? Нежуели потому что их создатели не знают про такую возможнность? А может просто понимают, что это никогда не нужно(благо для программиста всегда открыты такие фичи как, к примеру, системные потоки, отложенные вызовы и куча чего еще, которые итак нигде не отображаются) |
Сообщ.
#4
,
|
|
|
Чисто в самообразовательных целях:
А можно поподробнее про Цитата ANDLL @ специальную возможность в windows для отлова создания процессов Или хотя бы как эта возможность называется (уж не создавать ли для этого драйвер режима ядра?), чтобы можно было поискать инфу. |
Сообщ.
#5
,
|
|
|
Для G-Hex. Посмотри, очень интересно http://www.wasm.ru/article.php?article=apihook_1
Спасибо за ответы. Буду рыть дальше. |
Сообщ.
#6
,
|
|
|
Цитата G-Hex @ Разумеется, создавать Есть причины, по которым таие вещи не делаются в для обычных пржек.уж не создавать ли для этого драйвер режима ядра Функция PsSetCreateProcessNotifyRoutine(Ex) |
Сообщ.
#7
,
|
|
|
ANDLL
Пусть оффтоп, но что имеет в виду AVZ когда пишет что функция перехвачена? |
Сообщ.
#8
,
|
|
|
Цитата Nerey @ ANDLL Пусть оффтоп, но что имеет в виду AVZ когда пишет что функция перехвачена? Много чего. К примеру: - Изменилась таблица импорта - Изменилось тело ф-ции (первые байты ф-ции изменили на jmp MyFunction) И т.д. Суть в том, что _правильного_ способа перехвата не существует. Существует множество кривых и неправильных (правда, работающих), но корректных не существует и существовать не может в силу специфики работы данного механизма. |
Сообщ.
#9
,
|
|
|
Чуть более ясно. А изменение таблицы импорта не есть наиболее чистый способ?
|
Сообщ.
#10
,
|
|
|
Ндас...Ответы поставили меня совсем в тупик. А именно слово "ДРАЙВЕР". Может вопрос не сюда, но может на Делфи кто-то знает решение....
|
Сообщ.
#11
,
|
|
|
Кстати пример по использованию PsSetCreateProcessNotifyRoutine http://www.codeproject.com/threads/procmon.asp
прадва на C++, но такова уж реальность VB программистов, что некоторые примеры можно найти только на ругих языках |
Сообщ.
#12
,
|
|
|
Сложность написания дравйвера не в знании языка. Выучить C++ куда проще, чем научится писать системные тулзы. Отслыки типа "такова уж реальность VB программистов" это какаято бердятина
Добавлено Цитата ANDLL @ Йоптдераторам пора уже научится ставить галочку "отредактировано", это не моё желание, это требование выскоих чинов, занесенное в faq [удалено иодерптором] Добавлено Цитата Nerey @ Конкретно создание процесса вообще никак нельзя перехватить в пользовательском режиме - я могу тупо запихать нужные параметры в стек и вызвать sysenter - расскажите как будете перехватывать? И вообще да, ничего чистого тут нет, хотя наверное это лучше чем переписывание ее кода. А изменение таблицы импорта не есть наиболее чистый способ? Добавлено http://www.experts-exchange.com/Programming/Misc/Q_21260270.html Как вы думаете, много этот сайт зарабатывает? |
Сообщ.
#13
,
|
|
|
Йоптдератор очень торопился .
|
Сообщ.
#14
,
|
|
|
Цитата ANDLL @ Конкретно создание процесса вообще никак нельзя перехватить в пользовательском режиме - я могу тупо запихать нужные параметры в стек и вызвать sysenter - расскажите как будете перехватывать? И вообще да, ничего чистого тут нет, хотя наверное это лучше чем переписывание ее кода. По-моему такие извращения не нужны автору темы. |
Сообщ.
#15
,
|
|
|
Спасибо всем за ответы. Нашел решение в Делфи. Это перехват CreateThread. Пытался CreateProcess, но там какие-то бока с передачей дальше (после хука) параметров. Указатели всякие и т.п.
|