WinAPI запуск файла с памяти и перехват API

[bixbit]

Хмм.. ну критиковать легко, спрашивать "а как же звучит задание" и.т.п. - долгие разборки но (как правило) без всякого полезного результата.

Хорошо, а если зайти с др стороны - повесить "фильтр/хук" просто на чтение файла?  Мои познания в WinAPI давно устарели, но, по идее, это "должно быть". Вызывающий наш - делаем напр хоr (получаем хорошие данные) иначе нет.

В общих чертах задание звучит: "На любую манипуляцию файла спросить пароль. При открытии из-под другой ОС "каша" а не файл."
Такой вопрос какой самый простой вариант внедрения хука?

Начни с статьи: "Ms-Rem - Перехват API функций в Windows NT (часть 1). Основы перехвата. ": http://wasm.ru/article.php?article=apihook_1

Полезная статья
еще пригодилась http://www.rsdn.ru/article/baseserv/apicallsintercepting.xml

Возник такой вопрос
Какие функции нужно перехватывать для работы с файлом (запуск, копирование, переименование, перемещение)
А то я пробовал перхватывать для проверки CreateDirectory.
Для примера созданого мной перехват проходит, а для екслорера нет

[V1KT0P]

Хмм.. ну критиковать легко, спрашивать "а как же звучит задание" и.т.п. - долгие разборки но (как правило) без всякого полезного результата.

Хорошо, а если зайти с др стороны - повесить "фильтр/хук" просто на чтение файла?  Мои познания в WinAPI давно устарели, но, по идее, это "должно быть". Вызывающий наш - делаем напр хоr (получаем хорошие данные) иначе нет.

В общих чертах задание звучит: "На любую манипуляцию файла спросить пароль. При открытии из-под другой ОС "каша" а не файл."
Такой вопрос какой самый простой вариант внедрения хука?

Начни с статьи: "Ms-Rem - Перехват API функций в Windows NT (часть 1). Основы перехвата. ": http://wasm.ru/article.php?article=apihook_1

Полезная статья
еще пригодилась http://www.rsdn.ru/article/baseserv/apicallsintercepting.xml

Возник такой вопрос
Какие функции нужно перехватывать для работы с файлом (запуск, копирование, переименование, перемещение)
А то я пробовал перхватывать для проверки CreateDirectory.
Для примера созданого мной перехват проходит, а для екслорера нет

Читай справку микрософта, там все расписано. Для начала начни с: http://msdn.microsoft.com/en-us/library/windows/desktop/aa364407%28v=vs.85%29.aspx
Вот например функции для работы с директориями: http://msdn.microsoft.com/en-us/library/windows/desktop/aa363950%28v=vs.85%29.aspx
А вот для файлов: http://msdn.microsoft.com/en-us/library/windows/desktop/aa364232%28v=vs.85%29.aspx

[bixbit]

Хмм.. ну критиковать легко, спрашивать "а как же звучит задание" и.т.п. - долгие разборки но (как правило) без всякого полезного результата.

Хорошо, а если зайти с др стороны - повесить "фильтр/хук" просто на чтение файла?  Мои познания в WinAPI давно устарели, но, по идее, это "должно быть". Вызывающий наш - делаем напр хоr (получаем хорошие данные) иначе нет.

В общих чертах задание звучит: "На любую манипуляцию файла спросить пароль. При открытии из-под другой ОС "каша" а не файл."
Такой вопрос какой самый простой вариант внедрения хука?

Начни с статьи: "Ms-Rem - Перехват API функций в Windows NT (часть 1). Основы перехвата. ": http://wasm.ru/article.php?article=apihook_1

Полезная статья
еще пригодилась http://www.rsdn.ru/article/baseserv/apicallsintercepting.xml

Возник такой вопрос
Какие функции нужно перехватывать для работы с файлом (запуск, копирование, переименование, перемещение)
А то я пробовал перхватывать для проверки CreateDirectory.
Для примера созданого мной перехват проходит, а для екслорера нет

Читай справку микрософта, там все расписано. Для начала начни с: http://msdn.microsoft.com/en-us/library/windows/desktop/aa364407%28v=vs.85%29.aspx
Вот например функции для работы с директориями: http://msdn.microsoft.com/en-us/library/windows/desktop/aa363950%28v=vs.85%29.aspx
А вот для файлов: http://msdn.microsoft.com/en-us/library/windows/desktop/aa364232%28v=vs.85%29.aspx

Перехватил все функии для копирования файлов, но експлорер не реагирует на перехват  (в far перехватывает CopyFileA)
В чём проблема?
И еще для какой функции нужно делать перехват при запуску асоциированой программой?

[V1KT0P]

Перехватил все функии для копирования файлов, но експлорер не реагирует на перехват  (в far перехватывает CopyFileA)
В чём проблема?
И еще для какой функции нужно делать перехват при запуску асоциированой программой?

Если точно уверен что перехватываешь все, то смотри в сторону недокументированных функций. Там много интересного, и возможно експлорер через них и получает информацию.

[bixbit]

Перехватил все функии для копирования файлов, но експлорер не реагирует на перехват  (в far перехватывает CopyFileA)
В чём проблема?
И еще для какой функции нужно делать перехват при запуску асоциированой программой?

Если точно уверен что перехватываешь все, то смотри в сторону недокументированных функций. Там много интересного, и возможно експлорер через них и получает информацию.

Нашёл программу мониторинга функий.
Теперь я не могу понять как експолрер такое проворачивает?
Копирование файла readme.txt

[V1KT0P]

Перехватил все функии для копирования файлов, но експлорер не реагирует на перехват  (в far перехватывает CopyFileA)
В чём проблема?
И еще для какой функции нужно делать перехват при запуску асоциированой программой?

Если точно уверен что перехватываешь все, то смотри в сторону недокументированных функций. Там много интересного, и возможно експлорер через них и получает информацию.

Нашёл программу мониторинга функий.
Теперь я не могу понять как експолрер такое проворачивает?
Копирование файла readme.txt

Вроде как есплорер тупо прочитал данные, а затем записал в новый файл. Если я все правильно понял.
Я не пойму в чем у тебя проблема. Сделай фейковый файл и возвращай размер который необходим. А затем если его считывает программа которой не разрешен доступ отдавай нули или вообще не давай читать. А если та которой разрешили то отдавай настоящие данные. В итоге реальные данные находятся только в оперативке а на диске пустой файл.

[bixbit]

Вроде как есплорер тупо прочитал данные, а затем записал в новый файл. Если я все правильно понял.
Я не пойму в чем у тебя проблема. Сделай фейковый файл и возвращай размер который необходим. А затем если его считывает программа которой не разрешен доступ отдавай нули или вообще не давай читать. А если та которой разрешили то отдавай настоящие данные. В итоге реальные данные находятся только в оперативке а на диске пустой файл.

Тут другая проблема появилась.
Такой код вылетает. Именно через if насколько я понимаю. Но в чём причина?

Код:

HANDLE
WINAPI
My_CreateFileA(
    __in     LPCSTR lpFileName,
    __in     DWORD dwDesiredAccess,
    __in     DWORD dwShareMode,
    __in_opt LPSECURITY_ATTRIBUTES lpSecurityAttributes,
    __in     DWORD dwCreationDisposition,
    __in     DWORD dwFlagsAndAttributes,
    __in_opt HANDLE hTemplateFile
	){
		if(dwDesiredAccess==FILE_SHARE_READ)
		{
			MessageBoxA(NULL,"","",0);

		}
	return 	((HANDLE (__stdcall*)(
	LPCSTR ,
    DWORD ,
    DWORD ,
    LPSECURITY_ATTRIBUTES ,
    DWORD ,
    DWORD ,
    HANDLE ))adr_CreateFileA)(
	lpFileName,dwDesiredAccess,dwShareMode,lpSecurityAttributes,dwCreationDisposition,dwFlagsAndAttributes,hTemplateFile
	);
}

[V1KT0P]

Тут другая проблема появилась.
Такой код вылетает. Именно через if насколько я понимаю. Но в чём причина?

Код:

HANDLE
WINAPI
My_CreateFileA(
    __in     LPCSTR lpFileName,
    __in     DWORD dwDesiredAccess,
    __in     DWORD dwShareMode,
    __in_opt LPSECURITY_ATTRIBUTES lpSecurityAttributes,
    __in     DWORD dwCreationDisposition,
    __in     DWORD dwFlagsAndAttributes,
    __in_opt HANDLE hTemplateFile
	){
		if(dwDesiredAccess==FILE_SHARE_READ)
		{
			MessageBoxA(NULL,"","",0);

		}
	return 	((HANDLE (__stdcall*)(
	LPCSTR ,
    DWORD ,
    DWORD ,
    LPSECURITY_ATTRIBUTES ,
    DWORD ,
    DWORD ,
    HANDLE ))adr_CreateFileA)(
	lpFileName,dwDesiredAccess,dwShareMode,lpSecurityAttributes,dwCreationDisposition,dwFlagsAndAttributes,hTemplateFile
	);
}

И как ты себе такой хук представляешь? Как только ОС или программа начинает читать по идее начнут бешено появляться сообщения и тем самым подвесят. Лучше в файл записывай. Вообще хуки принято делать так, чтоб они выполнялись максимально быстро а не подвешивали все подряд.

[bixbit]

Тут другая проблема появилась.
Такой код вылетает. Именно через if насколько я понимаю. Но в чём причина?

Код:

HANDLE
WINAPI
My_CreateFileA(
    __in     LPCSTR lpFileName,
    __in     DWORD dwDesiredAccess,
    __in     DWORD dwShareMode,
    __in_opt LPSECURITY_ATTRIBUTES lpSecurityAttributes,
    __in     DWORD dwCreationDisposition,
    __in     DWORD dwFlagsAndAttributes,
    __in_opt HANDLE hTemplateFile
	){
		if(dwDesiredAccess==FILE_SHARE_READ)
		{
			MessageBoxA(NULL,"","",0);

		}
	return 	((HANDLE (__stdcall*)(
	LPCSTR ,
    DWORD ,
    DWORD ,
    LPSECURITY_ATTRIBUTES ,
    DWORD ,
    DWORD ,
    HANDLE ))adr_CreateFileA)(
	lpFileName,dwDesiredAccess,dwShareMode,lpSecurityAttributes,dwCreationDisposition,dwFlagsAndAttributes,hTemplateFile
	);
}

И как ты себе такой хук представляешь? Как только ОС или программа начинает читать по идее начнут бешено появляться сообщения и тем самым подвесят. Лучше в файл записывай. Вообще хуки принято делать так, чтоб они выполнялись максимально быстро а не подвешивали все подряд.

Ну я на локальном перехвате пробовал
В глобалном здесь  вместо

Код:

if(dwDesiredAccess==FILE_SHARE_READ)

Код:

if(lpFileName==L"C:\\Users\\User\\Desktop\\readme.txt")

Так дело в том что при первом что при втором программа вылетает

[V1KT0P]

Так дело в том что при первом что при втором программа вылетает

Если MessageBox заменить на запись в другой файл то тоже вылетает?

[bixbit]

Так дело в том что при первом что при втором программа вылетает

Если MessageBox заменить на запись в другой файл то тоже вылетает?

Если ты имееш ввиду

Код:

if(lpFileName==L"C:\\Users\\User\\Desktop\\readme.txt")
{
        lpFileName=L"F:\\go.txt";
}

то да также вылетает

[bixbit]

Так дело в том что при первом что при втором программа вылетает

Если MessageBox заменить на запись в другой файл то тоже вылетает?

Если ты имееш ввиду

Код:

if(lpFileName==L"C:\\Users\\User\\Desktop\\readme.txt")
{
        lpFileName=L"F:\\go.txt";
}

то да также вылетает

Причины пробемы так и не нашёл.
Пересобрал проект с нуля и все работает
Заметил одну особенность

Код:

		LPCSTR rez="C:\\Users\\User\\Desktop\\readme.txt";
		if(memcmp(lpFileName,rez,strlen(rez))==0)
		{
			MessageBoxA(NULL,lpFileName,"My_CreateFileA memcmp",0);
		}
		if(lpFileName==rez)
		{
			MessageBoxA(NULL,lpFileName,"My_CreateFileA if",0);
		}

почему проверка через memcmp проходит, а через == нет?

[Igors]

почему проверка через memcmp проходит, а через == нет?

Потому что == сравнивает адреса, а memcmp содержимое.