Quirk Napisano Styczeń 4, 2019 Autor Zgłoś Udostępnij Napisano Styczeń 4, 2019 W jaki sposob mozna wykryc czy jakas aplikacja odwoluje sie (otwiera, kopiuje, zapisuje czy cokolwiek innego) do jakiegos zdefiniowanego folderu/pliku, i w jaki sposob ewentualnie mozna jej na to nie zezwolic? Cytuj Link do komentarza Udostępnij na innych stronach More sharing options...
Omega Napisano Styczeń 4, 2019 Zgłoś Udostępnij Napisano Styczeń 4, 2019 Samo monitorowanie mozna wykonac np. wykorzystujac funkcje FindFirstChangeNotification, FindNextChangeNotification. Ale, zeby nie zezwolic jak to np. robia programy antywirusowe to juz wyzsza szkola jazdy i przyznam szczerze, ze sam nie wiem. Napewno dla systemow opartych na NT robi sie to inaczej a inaczej dla reszty. Np. wirus win.cih 1.XX dzialajacy tylko w win 9.X i chyba milennium przydziela jakos sobie pamiec poprzez przerwanie int 3, i zmienia wpisy w tablicy przerwan (debugowalem go). Caly swoj kod tam laduje i tam nastepuje monitoring. Jezeli uruchamiasz jakis program to on to wykrywa i najpierw go zaraza a dopiero dalej daje mozliwosc wywolania kernelowej funkcji CreateProcess. Sa metody drastyczne jak podpiecie sie pod biblioteke kernel32.dll, ale np. programy antywirusowe tego nie robia. Jezeli bedziesz znal odpowiedz, lub ktos inny to niech napisze. Cytuj Link do komentarza Udostępnij na innych stronach More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.