Cuestión : Trayectoria de proceso 2 de uso

Éste era comentario de Aflarin sobre href= de la trayectoria de proceso 1
el ramming/Languages/Pascal/Delphi/Q_26413438.html#33496630


I del e.com/Prog de http://www.experts-exchang tiene investigación al código el mirar al
And de “ZwOpenFile ", como miro el código, él parece conseguir la manera que quiero, conseguir la trayectoria y el nombre del uso con o sin preguntas de una ventana o de console.

2 solamente a answer.
a. ¿Está esto el código de que Aflarin está hablando en su comentario del número 3?  Sí o NO
b. ¿Y dónde podría encontrar NativeAPI.pas? class= > " claro " del

> del " codeSnippet " del class= del

class= " lineNumbers " del

class= del

1: 2: 3: 4: 5: 6: 7: 8: 9: 10: 11: 12: 13: 14: 15: 16: 17: 18: 19: 20: 21: 22: 23: 24: 25: 26: 27: 28: 29: 30: 31: 32: 33: 34: 35: 36: 37: 38: 39: 40: 41: 42: 43: 44: 45: 46: 47: 48: 49: 50: 51: 52: 53: 54: 55: 56: 57: 58: 59: 60: 61: 62: 63: 64: 65: 66: 67: 68: 69: 70: 71: 72: 73: 74: 75: 76: 77: 78: 79: 80: 81: 82: 83: 84: 85: 86: 87: 88: 89: 90: 91: 92: 93: 94: 95: 96: 97: 98: 99: 100: 101: 102: 103: 104: 105: 106: 107: 108: 109: 110: 111: 112: 113: 114: 115: 116: 117: 118: 119: 120: 121: 122: 123: 124: 125: 126: 127: 128: 129: 130: 131: 132: 133: 134: 135: 136: 137: 138: 139: 140: 141:

class= x >library " notpretty " del id= " codeSnippet958941 " del

class= del

Respuesta : Trayectoria de proceso 2 de uso

¿>> está esto el código de que Aflarin está hablando en su comentario del número 3? ¿Es eso que usted querer decir Aflarin?

Tengo miedo que la respuesta es No. Hablé realmente de enganchar ZwOpenFile, pero debe estar dentro de conductor del modo del núcleo. Su biblioteca x está trabajando en modo del usuario. Así pues, puede enganchar solamente el poder del usuario-modo de ZwOpenFile. Significa que su código interceptará las llamadas de ZwOpenFile solamente si vienen del usuario-modo app/DLL.
Conjeturo cuando el app llama CreateProcess (o algo similar), él entro a NtCreateProcess modo del núcleo y entonces ZwOpenFile es llamado por NtCreateProcess del modo del núcleo. Esta llamada pasará tan por su gancho.

Le sugiero para leer el artículo correspondiente de mi poste (y examinar el código del artículo). Por ejemplo, usted puede encontrar que hay algunas razones para enganchar NtCreateSection en vez de ZwOpenFile:)