-
> ketmar © (08.07.08 21:13) [18]
Скажите мне умные люди: Как сделать перехват нормальный запуска процесосв на Delphi?
-
dreamse,
DCC от Delphi 3:
dcc32.exe -jP -$A-,B-,C-,D-,G-,H-,I-,J-,L-,M-,O+,P-,Q-,R-,T-,U-,V-,W+,X+,Y- имя_файла_исходника.pas
Далее link'уем WinDDK:
link.exe /NOLOGO /ALIGN:32 /BASE:0x10000 /SUBSYSTEM:NATIVE /DRIVER
/FORCE:UNRESOLVED /ENTRY:DriverEntry$qqsxp13DRIVER_OBJECTxp14UNICODE_STRING
имя_файла_исходника.obj /out:имя_файла_исходника.sys ntoskrnl.lib
-
> ketmar © (08.07.08 21:13) [18]
>
> >[14] dreamse (2008-07-08 21:05:00)
> кстати, родной: а кто это тебе на свисте позволит всякие
> неподписаные драйвера втыкать?
> а про свистуx64 как?
Подписать на год всего 400$
-
> kernel © (08.07.08 21:31) [21]
>
> dreamse,
> DCC от Delphi 3:
> dreamse (08.07.08 21:17) [19]
> софт на продажу, на продажу зарубеж, на продажу в другие города ...
Ну сделал ты человеку медвежью услугу, а ПО прослывёт глючным.
-
>[19] dreamse (2008-07-08 21:17:00)
за метлой. немедленно. и работать по своей прямой специальности.
---
Understanding is not required. Only obedience.
-
-
> dreamse
Все же советую начать изучать С и основы написания драйверов под Windows. Это занятие и с нормальными и предназначенными для этого инструментами сродни постройке корабликов в бутылках, а ты еще хочешь строить эти кораблики без участия рук и с завязанными глазами.
-
> А вы ?
Я в первую очередь не желаю странного, в частности самопального перехвата запуска процессов, каковой перехват делается как минимум тремя стандартными способами.
-
> Игорь Шевченко © (08.07.08 21:52) [27]
> каковой перехват делается как минимум тремя стандартными способами.
Интересный вы все же человек, учите - учите неизвестно чему, а вот подсказать хотя бы 1-2 способа из 3-х стандартных почему то не можете :(
Дело ведь не в том что по вашему мнению этого не нужно делать, дело в том что это будет сделанно в любом случае :) Рано или поздно, так как надо!
А я бы в свою очередь был бы очень благодарен любой подсказке, кроме конечно слов что делать что то не нужно
-
dreamse (08.07.08 22:00) [28]
> Интересный вы все же человек
Спасибо за комплимент
> учите - учите неизвестно чему, а вот подсказать хотя бы
> 1-2 способа из 3-х стандартных почему то не можете :(
или не хочите. Также как ты не хочешь объяснить, нафига оно тебе надо.
> Дело ведь не в том что по вашему мнению этого не нужно делать,
> дело в том что это будет сделанно в любом случае :) Рано
> или поздно, так как надо!
Ты название софта скажи, чтобы никто из близких/родственников/знакомых его по незнанию не купил.
-
> Игорь Шевченко © (08.07.08 22:03) [29]
> Также как ты не хочешь объяснить, нафига оно тебе надо.
Есть база постоянно обновляемых сигнатур троянов, рекламных модулей, шпионов и пр гадости. Нужно сделать файловый монитор на запуск этих файлов.
Почему бы не пользоваться нормальным антивирусом?
потому что необходимо встроить данный функционал в свою БОЛЬШУЮ систему.
SDK Касперский предоставляет но поддержка их сканера в неших продуктах стоит 10 000 $ на 3 месяца ... это нереальная несколько цена.
SDK Сканнера от Panda антивирус тоже есть, но договориться с ними не получилось.
> Ты название софта скажи, чтобы никто из близких/родственников/знакомых его по незнанию не купил.
Не купит, модуль деактивирования сигнатур входит в специализированный софт для рабочих станций в компаниях. Домашним пользователям он не грозит :)
p.s Знаю, знаю что это не решение ... но есть такое понятие как : Шеф сказал делай так ... вот и делаю ..
Решение будет идти встраиваемым модулем для нашего специализированного софта.
-
> [0] Dreamse (08.07.08 20:34)
зачем драйвер, когда есть готовые средства в user mode, вот пример http://code.progler.ru/view/376драйвер это самая самая крайняя мера. надо трижды задуматься, а потом задуматься еще раз, прежде чем выбрать этот вариант.
-
> Eraser © (08.07.08 22:26) [31]
заработает ли под обычным пользователем в Vista?
-
нет, не уверен даже что заработает под обычным пользователем в xp.
но на то есть манифест. драйвер точно под обычным польззователем не заработает, а в vista64 не заработает и под админом )
-
> ketmar © (08.07.08 21:36) [24]
>
> >[19] dreamse (2008-07-08 21:17:00)
> за метлой. немедленно. и работать по своей прямой специальности.
Кетмар, ну вам разве не стыдно. Я лично люблю чтобы убрано было чисто, а не как нибудь. А как этот человек пишет программы я уже понял...
-
Удалено модератором
-
> Eraser © (08.07.08 22:26) [31]
>
> > [0] Dreamse (08.07.08 20:34)
>
> зачем драйвер, когда есть готовые средства в user mode,
> вот пример http://code.progler.ru/view/376
>
> драйвер это самая самая крайняя мера. надо трижды задуматься,
> а потом задуматься еще раз, прежде чем выбрать этот вариант.
Ему не только отслеживать, но и перехватывать(запрещать). A WMI позволяет только отслеживать CreateProcess.
-
> dreamse (08.07.08 23:14) [35]
>
> Скачал winDDK скомпилил пример, вроде работает. Но опять
> не перехват а отслеживание :(
>
> Спасибо всем.
> Если будет возможность без драйвера Перехватить !!! Не отследить
> а Перехватить запуск то напишите пожалуйста.
Можешь попробовать заменить отладчик [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug]
-
> не весь проект, а pas файл для ознакомления: http://www.
> prog-gate.pp.ru/fido7.ru.delphi.talk/664.html
>> function DriverEntry; >> begin >> ... Млин - у меня дежавю? Я думал только один образчик сего чуда есть, а оказывается нэт, метаморфируются они, итить их за ногу :))) Жаль нельзя Девида Блейна вспомнить...
-
|
Есть новые 
Нет новых [134439 +38][b:0][p:0.001]