как узнать, какой файл будет прочитан? пользуюсь SoftICE, знаю дескриптор, а куда дальше смотреть?

| Сообщение посчитали полезным:

filemon?

| Сообщение посчитали полезным:

filemon конечно хорошо, только я хочу определить имя открытого ранее файла, зная его дескриптор
из softice я же filemon не запущу..

| Сообщение посчитали полезным:

lek пишет:
из softice я же filemon не запущу..
а зачем тебе софтайс? ))
(советовать олю не буду, хотя надо бы)
запускаешь файлмон и ищешь в его выводе подозрительные файлы. потом ищешь обращения к этим файлам

| Сообщение посчитали полезным:

Бряк на CreateFileA. Первый ее параметр (верхушка стека) - оффсет на строку с именем файла.

| Сообщение посчитали полезным:

может и существует какойто красивый способ, как сделать это програмно, но я чессгря не знаю. попробуй на васме по форуму поискать

| Сообщение посчитали полезным:

NG пишет:
попробуй на васме по форуму поискать
*вспомнив, что не все умеют пользоваться поиском*

держи http://www.wasm.ru/forum/action=vthread&forum=4&topic=5322
с тя пыво

| Сообщение посчитали полезным:

MC707
я далеко не спец, ещё с softice до сих пор не освоился
ставлю бряк на readfile, всплывает softice, смотрю esp
4 байта - адрес возврата, следующие 4 - дескриптор файла, и т.д. куда дальше ввести этот дескриптор, чтобы узнать имя файла?

| Сообщение посчитали полезным:

lek пишет:
ставлю бряк на readfile
Я ж сказал на CreateFile

| Сообщение посчитали полезным:

NG
спасибо, сразу не заметил
как пиво передать?

MC707
это понятно, записать дескрипторы и соответствующие им имена файлов, только при каждом запуске дескрипторы будут разные, а запусков предстоит много


Спасибо за помощь всем

| Сообщение посчитали полезным:

lek пишет:
как пиво передать?
DHL? ;)
да лана, не стоит

| Сообщение посчитали полезным:

DHL


| Сообщение посчитали полезным: