зашел только что на Sysinternals (www.sysinternals.com), оказался на
www.microsoft.com/technet/sysinternals/default.mspx
это как понимать? как глюк?
сорри, если оффтоп.

| Сообщение посчитали полезным:

купили их мелкомягкие!

з.ы.

micro$oft.com/technet/sysinternals/FileAndDisk/processmonitor.mspx

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Почему глюк, читай:

The Sysinternals web site was created in 1996 by Mark Russinovich and Bryce Cogswell to host their advanced system utilities and technical information and Microsoft acquired Sysinternals in July, 2006. Whether you’re an IT Pro or a developer, you’ll find Sysinternals utilities to help you manage, troubleshoot and diagnose your Windows systems and applications. If you have a question about a tool or how to use it, please visit the Sysinternals Forum for answers and help from other users and our moderators.

З.Ы. Купили с потрохами

-----
~ the Power Of Reversing team ~

| Сообщение посчитали полезным:

б..! как грустно.

| Сообщение посчитали полезным:

Ничего грустного... ребята трудились долгие годы, писали очень грамотные тулзы. И наконец свершилась мечта любого "идиота" (программиста) - билли устроил им водопад бабла.

-----
Всем не угодишь

| Сообщение посчитали полезным:

Bad_guy пишет:
Ничего грустного... ребята трудились долгие годы, писали очень грамотные тулзы. И наконец свершилась мечта любого "идиота" (программиста) - билли устроил им водопад бабла.
им, может и хорошо. просто я помню кучу примеров когда вобщем-то очень недурственные технологии после закупки мс превращались в г...но. из не превратившихся навскидку вспомню только directx. поэтому и грустно - задавят продукт бездари, ибо тулза врядли пойдет в массы - слишком специфичная.

зы. никто не смотрел как procmon ловит обращения? драйвера в комплекте (как у регмона или файлмона) я не увидел. или он вкомпилен?

| Сообщение посчитали полезным:

драйвер у них в ресурсах хранится

| Сообщение посчитали полезным:

n1kto пишет:
зы. никто не смотрел как procmon ловит обращения?
Сам недавно интересовался, но до конца так и не выяснил. С обращениями к реестру все понятно:

Функция ZwClose (19) перехвачена PROCMON10.SYS
Функция ZwCreateKey (29) перехвачена PROCMON10.SYS
Функция ZwDeleteKey (3F) перехвачена PROCMON10.SYS
Функция ZwDeleteValueKey (41) перехвачена PROCMON10.SYS
Функция ZwEnumerateKey (47) перехвачена PROCMON10.SYS
Функция ZwEnumerateValueKey (49) перехвачена PROCMON10.SYS
Функция ZwFlushKey (4F) перехвачена PROCMON10.SYS
Функция ZwLoadKey (62) перехвачена PROCMON10.SYS
Функция ZwOpenKey (77) перехвачена PROCMON10.SYS
Функция ZwQueryKey (A0) перехвачена PROCMON10.SYS
Функция ZwQueryValueKey (B1) перехвачена PROCMON10.SYS
Функция ZwSetValueKey (F7) перехвачена PROCMON10.SYS
Функция ZwUnloadKey (107)перехвачена PROCMON10.SYS

А вот с работой Filemon не так все просто. Видно ставиться какой-то фильтр драйвер и причем, довольно глубоко. Так как в требованиях у Process Monitor стоит Windows XP SP2, то тут явно замешан Filesystem Filter Manager (fltmgr.sys.) И фильтруется, например драйвер NTFS. Это с одной стороны хорошо, с другой плохо. Хорошо, что должны быть видны все операции с файлами, но перлы типа: CreateFile('.SICE',...), не отлавливаются, так что, приходиться писать свои monы.

| Сообщение посчитали полезным:

seeq а чем такой отчёт получен? что-то я отстал от прогресса)))

кому интересно где то у мну был архивчик FileMon_scr.zip

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
а чем такой отчёт получе
походу AVZ hxxp://z-oleg.com/secur/avz/index.php

| Сообщение посчитали полезным:

Hellspawn пишет:
seeq а чем такой отчёт получен?

Я лично пользуюсь AVZ
www.z-oleg.com/secur/avz/download.php
Есть еще Hook Analyzer, Icesword
www.resplendence.com/hookanalyzer

| Сообщение посчитали полезным:

Нее, для таких целей лучше юзать GMER, он еще IRP-хуки в нагрузку показывает... правда юзать надо осторожно, у меня синячит иногда... Тута http://www.gmer.net/ его скачать можно

-----
Research is my purpose

| Сообщение посчитали полезным: