> sfary


Перехват PsSetCreateProcessNotifyRoutine, пока есть проблемка, не могу получить полный путь запускаемого процесса, из usermode не получаеться, надо получать в драйвере, доработаю позже, щас занет пока, под x64 драйвер подписан, надо только отключить проверку цифровой подписи F8

http://www.onlinedisk.ru/file/501133/

Тестировал под Windows XP SP2, Seven, x64 Seven

> Игорь ©   (24.08.10 12:32) [20]
> Перехват PsSetCreateProcessNotifyRoutine


Нафига его перехватывать-то ?

> Сергей М. ©   (24.08.10 13:41) [22]


Да это я так образно

> Игорь ©   (24.08.10 14:25) [23]


Даже если "образно", то как это поможет цели - "еще до запуска" ?
Никак.
Вот в Висте и 2008-м сервере - там появилась PsSetCreateProcessNotifyRoutineEx, она реально поможет.

> Сергей М. ©   (24.08.10 15:54) [24]


Процесс еще не инициализировался, не загрузил ни одну dll, что он может?

А мы можем спокойно его замочить если он нам не понравился чем либо

Возможно ли определить, что процесс полностью инициализировался (только с windows dll) после чего поставить его на паузу. Если функция определения на его вирусность дала добро, то его выгружаем, в противном случае убираем с паузы. На данный момент это требуется. Сильно драйвера не требуются, ошибок много будет и лёгкость утеряется.