Форум программистов «Весельчак У»
  *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

  • Рекомендуем проверить настройки временной зоны в вашем профиле (страница "Внешний вид форума", пункт "Часовой пояс:").
  • У нас больше нет рассылок. Если вам приходят письма от наших бывших рассылок mail.ru и subscribe.ru, то знайте, что это не мы рассылаем.
   Начало  
Наши сайты
Помощь Поиск Календарь Почта Войти Регистрация  
 
Страниц: [1]   Вниз
  Печать  
Автор Тема: Как NTVDM пишет в файл?  (Прочитано 9982 раз)
0 Пользователей и 4 Гостей смотрят эту тему.
frozen
Гость
« : 19-10-2004 19:33 » 

Помоги решить проблему. Необходимо отследить запись на диск файла из досовской программы и проанализировать этот файл. Написал драйвер, поставил хук на ZwWriteFile. Запись через эту функцию не проходит, т.е. файл создается обычным ZwCreateFile, закрывается ZwClose, но пишется через что-то другое. Что это может быть за функция?
http://www.wasm.ru/forum//index.php?action=vthread&forum=4&topic=7349&page=-1
Записан
Серж
Гость
« Ответ #1 : 21-10-2004 10:20 » new

frozen, NtWriteFile
Записан
maaaaad
Гость
« Ответ #2 : 22-10-2004 11:55 » 

idiot
Записан
Серж
Гость
« Ответ #3 : 22-10-2004 13:42 » 

maaaaad, а жалко, что виртуально нельзя дать в морду.
Записан
SlavaI
Главный специалист

ru
Offline Offline

« Ответ #4 : 22-10-2004 14:20 » 

В юзер моде по моему нет других ф-ций, только (Zw)NtWriteFile .  
Другое дело если ты в кернел моде хук поставид в таблице ф-ций, но и там только ZwWriteFile. Как вариант- проверь хук реально встал. На крайняк можно перехватить IRP_MJ_WRITE и FastIoWrite прямо на драйверах файловых систем.
Записан
frozen
Гость
« Ответ #5 : 24-10-2004 16:21 » 

Хук встал реально, (в таблице функций). Но, как я уже написал, запись не проходит через NtWriteFile.
Пришлось действительно перехватывать IRP. Просто интересно, что это за функция.
Кстати, я написал на Паскле прогу, которая создает файл и записывает в него строчу. Так вот, в ней тоже запись не проходит через NtWriteFile. Видимо, вся NTVDM так пишет.
Еще вопрос, как отследить момент монтирования файловой системы флоппи дисковода? Надо успеть приаттачится к устройству, до того как на него будет послан IRP?
Записан
SlavaI
Главный специалист

ru
Offline Offline

« Ответ #6 : 25-10-2004 13:38 » 

Цитата

 как отследить момент монтирования файловой системы флоппи дисковода


IoRegisterFsRegistrationChange
Записан
ILIS
Гость
« Ответ #7 : 08-11-2005 16:26 » 

NtVdmControl
Записан
Страниц: [1]   Вверх
  Печать  
 

Powered by SMF 1.1.21 | SMF © 2015, Simple Machines