Подскажите по Висте.
Есть кряк в виде длл, цеплял к процессам через реестр AppInit_DLLs rj ко всем запускаемым процессам (в ХР), искал свои и патчил.
В Висте этот метод подгрузки длл не работает.
Подскажите альтернативные способы глобального перехвата в Висте - и подгрузки длл к запускаемым процессам. Важно цеплять длл до запуска проги - при SetWindowsHooks на сообщения проги не всегда успевает срабатывать - сообщения идут уже после инициализации проги

| Сообщение посчитали полезным:

что, нет ввриантов??

| Сообщение посчитали полезным:

Tolkin, посмотри все топы про висту на этом форуме и поймеш, как к ней относятся в плане кряка, так что некто в ней ниче не ломает и с твоей проблемой соответственно несталкивался имхо

| Сообщение посчитали полезным:

Tolkin
Ну, а драйвер, есть возможность установить? Установить свою процедуру обработки, загрузки образа, с помощью PsSetLoadImageNotifyRoutine,PsSetCreateProcessNotifyRoutine и инжектить шеллкод который подгрузит твою длл? Там же, ты можешь отфильтровать нужные тебе процессы и инжектить только в них. Способ документированный, в висте работать должен.
Вот пример: www.xfocus.net/articles/200303/495.html

-----
– Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями...

| Сообщение посчитали полезным:

на счет драйвера не уверен, в Висте неподписанный драйвер установить нельзя просто так вроде

| Сообщение посчитали полезным:

Tolkin
В х64, даже с правами админа (конечно,все можно, если захотеть), а в х32 вполне легко можешь установить и стандартными средствами.

-----
– Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями...

| Сообщение посчитали полезным:

Если бы я умел писать драйверы, я бы не задавал вопросов в разделе для новичков ;)
А без драйвера можно обойтись?
Может через реестр все же можно?
И как точно с ring3 уровня можно определить начало запуска процесса и перехватить его?
Ставить ловушки на сообщения? или создания окон? - это не всегда срабатывает, т.к. прогу надо пропатчить в памяти уже и до ее фактического запуска.

| Сообщение посчитали полезным:

Tolkin пишет:
на счет драйвера не уверен, в Висте неподписанный драйвер установить нельзя просто так вроде

можно установить подписанный драйвер, предварительно его подписав самостоятельно. для этого нужно создать свой CA (Certification Authority), установить его в корневое хранилище в системе, и этим сертификатом подписать драйвер - об этом есть статьи в инете, в т.ч. на русском

-----
EnJoy!

| Сообщение посчитали полезным:

Tolkin
Ищи методы тут: http://exelab.ru/f/action=vthread&forum=6&topic=9581

-----
– Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями...

| Сообщение посчитали полезным:

Tolkin

Перехвати создание процесса в explorer.exe, например, и внедряй что хочешь.

-----
Security through obscurity is just an illusion

| Сообщение посчитали полезным:

На счет перехвата создания процесса в explorer.exe - по идее можно, но только я перехвачу все создаваемые процессы, создаваемые из стандартной оболочки винды.
При запуске из других прог - totalcmd и др. соответственно работать не будет, но все же это лучше чем ничего.

| Сообщение посчитали полезным:

хотя также можно перехватывать и в основных файловых менеджерах

| Сообщение посчитали полезным:

Tolkin
Из MSDN с помощью гугла
AppInit_DLLs -- For security reasons, Windows Vista does not support AppInit_DLLs, which is a registry key that specified a DLL to load into every process (a popular feature with spyware writers). The complete key is HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs. Instead, there’s a new key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\LoadAppInit_DLLs, which can only be set by administrator-level applications. (Just because the user is an administrator doesn’t mean your program runs with administrator rights, see security section for details).

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Спасибо PE_KILL, именно то что я искал !!!

| Сообщение посчитали полезным: