Перехват CreateFile

[qwerc1]

Всем, привет. Мне нужно перехватить CreateFile(видимо A,W), но не нужно вставлять на его место функцию заместителя, по сути мне нужна только лишь регистрация.

1)Как сделать без сплайсинга, таблиц импорта и т.п.??? Есть какое системное сообщение типа МАУСБАТТОНДАУН( =) ), которое можно было бы перехватить с помощью обычных хуков??

Или лучше подменить код оригинального креэйтфайла в user32(или kernel32????), сделать все, потом вернуться обратно к нему? Но этоже ппц товарисчи=)

2)Как сделать глобальную ДЛЛку? Чтоб по всем процессам шарила.

Подсказки желательно в с++, всмыле я понимаю что апи, делфи, вся фигня, но времени мало, разбираюсь с 0-ля, вобщем вот так=)

[rpy3uH]

Цитата:

Сообщение от qwerc1

1)Как сделать без сплайсинга, таблиц импорта и т.п.??? Есть какое системное сообщение типа МАУСБАТТОНДАУН( =) ), которое можно было бы перехватить с помощью обычных хуков??

Или лучше подменить код оригинального креэйтфайла в user32(или kernel32????), сделать все, потом вернуться обратно к нему? Но этоже ппц товарисчи=)

по-моему, через сплайсинг проще всего.

Цитата:

Сообщение от qwerc1

2)Как сделать глобальную ДЛЛку? Чтоб по всем процессам шарила.

элементарно, надо поместить в неё код создания хука с пустым обработчиком хука типа WH_GETMESSAGE, винда автоматически закинет твою DLL во все процессы (как минимум во все GUI процессы)

Мой совет: есть такая DLL ntdll.dll в ней находится функция NtCreateFile (или ZwCreateFile, без разницы), вот её то и надо перехватывать. к ней обращается функция CreateFileA(W). Один минус: параметров у неё больше и они сложнее.

[qwerc1]

спасибо, попробую.

[Д'якон]

Можно просто CreateFileW перехватывать. Все А функции все равно потом к W обращаются вроде.

[Vikenty]

Стучите мне в асю помогу

[qwerc1]

а через сплайсинг я смогу какнибудь отследить процесс, вызвавший функцию?

[Пепел Феникса]

а в чем проблема?
в своей функции-фальшивке определяйте