Модераторы: feodorv, GremlinProg, xvr, Fixin

Поиск:

Ответ в темуСоздание новой темы Создание опроса
> NtCreateFile-и комбинация флагов, Для файла открывающегося на запись 
V
    Опции темы
W4FhLF
Дата 24.7.2007, 14:40 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


found myself
****


Профиль
Группа: Участник Клуба
Сообщений: 2831
Регистрация: 2.12.2006

Репутация: 12
Всего: 121



Цитата(dumb @  24.7.2007,  02:11 Найти цитируемый пост)
Detours. или это была особо-изощренная шутка? 


Нет, это был обычный ддос-бот, с жалкими зачатками руткита(прятал ключи реестра, свой файл и скрывал себя из диспетчера задач обычным перехватом по средствам сплайсинга). Достал я его вроде из эксплойта, ссылка на который пришла спамом. 


Цитата(Coocky @  24.7.2007,  09:34 Найти цитируемый пост)
W4FhLF, не.Я не пишу трояны.Скорее наоборот-антитроянские программы.Хотя раньше просто интерфейсы для них, теперь-не повезло.Само ядро.


Очень интересно. И отчего, по-твоему, должен защитить перехват в usermode? 


--------------------
"Бог умер" © Ницше
"Ницше умер" © Бог
PM ICQ   Вверх
Coocky
Дата 24.7.2007, 15:12 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


GUI гуру
****


Профиль
Группа: Участник Клуба
Сообщений: 2879
Регистрация: 16.2.2004
Где: Украина. Запорожь е

Репутация: нет
Всего: 62



Цитата(dumb @  24.7.2007,  13:47 Найти цитируемый пост)
а вот одолжений мне не нужно делать 

А никто и не делал smile
Просто благодаря твоей мысли-я решил свою проблему smile

Добавлено @ 15:14
Цитата(W4FhLF @  24.7.2007,  14:40 Найти цитируемый пост)
Очень интересно. И отчего, по-твоему, должен защитить перехват в usermode? 

smile
Ну во-первых я уже написал-я пишу ИНТЕРФЕЙСЫ под антируткиты smile 
А вот сейчас нужна маленькая утилита для защиты от кривых рук smile
Я ж не говорил, что сейчас пишу защиту от троянов, а вот интерфейсы для работы с драйверами писал smile
Но это уже оффтоп

Добавлено через 10 минут и 23 секунды
dumb, то что ты мне дал ссылку-я не про то.
 Я про вот что
GENERIC_WRITE 

это комбинация

FILE_APPEND_DATA
FILE_WRITE_ATTRIBUTES
FILE_WRITE_DATA
FILE_WRITE_EA
STANDARD_RIGHTS_WRITE
SYNCHRONIZE
тогда почему не работало 
Код

if(uCreateDisposition==FILE_OPEN && (AccessMask & FILE_WRITE_DATA))


ведь
Код

int r=0, r1=10,r2=20;
r=r1|r2
if (r & 20)
{
}
дает true ?


 

Это сообщение отредактировал(а) Coocky - 24.7.2007, 15:15


--------------------
Верю в смерть после жизни, в любовь после секса ,в крем после бритья smile        
PM ICQ   Вверх
W4FhLF
Дата 24.7.2007, 15:29 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


found myself
****


Профиль
Группа: Участник Клуба
Сообщений: 2831
Регистрация: 2.12.2006

Репутация: 12
Всего: 121



Цитата(Coocky @  24.7.2007,  15:12 Найти цитируемый пост)
Ну во-первых я уже написал-я пишу ИНТЕРФЕЙСЫ под антируткиты


А под какие именно, если не секрет? smile 



--------------------
"Бог умер" © Ницше
"Ницше умер" © Бог
PM ICQ   Вверх
Coocky
Дата 24.7.2007, 15:31 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


GUI гуру
****


Профиль
Группа: Участник Клуба
Сообщений: 2879
Регистрация: 16.2.2004
Где: Украина. Запорожь е

Репутация: нет
Всего: 62



В приват отвечу smile


--------------------
Верю в смерть после жизни, в любовь после секса ,в крем после бритья smile        
PM ICQ   Вверх
dumb
Дата 24.7.2007, 15:58 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


sceloglauxalbifacies
****


Профиль
Группа: Экс. модератор
Сообщений: 2929
Регистрация: 16.6.2006

Репутация: 27
Всего: 158



Цитата(Coocky @  24.7.2007,  15:12 Найти цитируемый пост)
Я про вот что
GENERIC_WRITE 
это комбинация
Цитата(dumb @  24.7.2007,  02:11 Найти цитируемый пост)
GENERIC_xxx - это отдельные флаги, которые "превращаются"(где-то там "внутрях") в комбинации флагов согласно типам объектов.

эти GENERIC'и - старшие четыре бита в маске доступа. посмотри на схематичное изображение, которое ты приводил в одном из своих постов.

ты даешь GENERIC_WRITE для объекта файла - он(этот флаг) в ядре "раскрывается" в специфичные для данного типа объекта(файл) флаги + флаги доступа к самому объекту - их список в твоем посте.

схематичный код того, что творится в ядре:
Код

if (ObjectType = OBJ_FILE && ( AccMask & GENERIC_WRITE ) )
  AccMask = FILE_APPEND_DATA | FILE_WRITE_ATTRIBUTES | FILE_WRITE_DATA | FILE_WRITE_EA | STANDARD_RIGHTS_WRITE | SYNCHRONIZE;


для другого типа объекта(например, папка или ком-порт) этот GENERIC_WRITE "раскроется" в иной набор флагов.

но какой-нибудь "извращенец" может вместо указания какого-либо GENERIC, указать точный набор флагов, специфичных для объекта, с которым он работает. поэтому ловить только GENERIC_WRITE - тоже не совсем правильно. так что бери тот if, что я приводил.

ps. блин, что-то у меня объяснялка сломалась от недосыпа. smile

PM MAIL   Вверх
Coocky
Дата 24.7.2007, 16:09 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


GUI гуру
****


Профиль
Группа: Участник Клуба
Сообщений: 2879
Регистрация: 16.2.2004
Где: Украина. Запорожь е

Репутация: нет
Всего: 62



Цитата(dumb @  24.7.2007,  15:58 Найти цитируемый пост)
GENERIC_WRITE - тоже не совсем правильно. так что бери тот if, что я приводил.


Цитата(dumb @  24.7.2007,  15:58 Найти цитируемый пост)
но какой-нибудь "извращенец" может вместо указания какого-либо GENERIC, указать точный набор флагов,

Так что делать? 
Понимаешь-тот набор заточен так, а представь будет два флага вместо трех-ведь тогда не раскроется?



--------------------
Верю в смерть после жизни, в любовь после секса ,в крем после бритья smile        
PM ICQ   Вверх
dumb
Дата 24.7.2007, 16:37 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


sceloglauxalbifacies
****


Профиль
Группа: Экс. модератор
Сообщений: 2929
Регистрация: 16.6.2006

Репутация: 27
Всего: 158



Цитата(Coocky @  24.7.2007,  16:09 Найти цитируемый пост)
Так что делать? 
повторюсь: smile
Код

if(AccessMask&(GENERIC_ALL | GENERIC_WRITE | FILE_WRITE_DATA))


Цитата(Coocky @  24.7.2007,  16:09 Найти цитируемый пост)
Понимаешь-тот набор заточен так, а представь будет два флага вместо трех-ведь тогда не раскроется?
эм... у тебя проблемы с простейшими логическими операциями? smile вышеуказанный if сработает на любую комбинацию этих флагов - хоть один, хоть все сразу.
PM MAIL   Вверх
Coocky
Дата 24.7.2007, 17:07 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


GUI гуру
****


Профиль
Группа: Участник Клуба
Сообщений: 2879
Регистрация: 16.2.2004
Где: Украина. Запорожь е

Репутация: нет
Всего: 62



Цитата(dumb @  24.7.2007,  16:37 Найти цитируемый пост)
эм... у тебя проблемы с простейшими логическими операциями?  вышеуказанный if сработает на любую комбинацию этих флагов - хоть один, хоть все сразу. 

У меня НЕТ ПРОБЛЕМ с этим smile Ты просто невнимательно читал пост сначала
Еще раз
НЕ РАБОТАЕТ!
Код

if(AccessMask&FILE_WRITE_DATA)
{
 
}

if(AccessMask&STANDARD_RIGHTS_WRITE)
{
 
}
if(AccessMask&FILE_WRITE_ATTRIBUTES)
{

}
if(AccessMask&FILE_WRITE_EA)
{

}
if(AccessMask&FILE_APPEND_DATA)
{
 
}



Добавлено через 3 минуты и 43 секунды
Цитата(dumb @  24.7.2007,  15:58 Найти цитируемый пост)
ps. блин, что-то у меня объяснялка сломалась от недосыпа. 

Вот вот  smile 
Я тебя не могу понять, что ты мне хочешь донести .
Хотя проблема давно решена.
Просто мы наверное не можем понять друг друга. smile


--------------------
Верю в смерть после жизни, в любовь после секса ,в крем после бритья smile        
PM ICQ   Вверх
dumb
Дата 24.7.2007, 17:48 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


sceloglauxalbifacies
****


Профиль
Группа: Экс. модератор
Сообщений: 2929
Регистрация: 16.6.2006

Репутация: 27
Всего: 158



Код

if(AccessMask&(GENERIC_ALL | GENERIC_WRITE | FILE_WRITE_DATA))
{
  // зописывают! памагите!
}

!!!

я не знаю, как еще можно это объяснить... smile
PM MAIL   Вверх
Coocky
Дата 25.7.2007, 08:54 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


GUI гуру
****


Профиль
Группа: Участник Клуба
Сообщений: 2879
Регистрация: 16.2.2004
Где: Украина. Запорожь е

Репутация: нет
Всего: 62



Цитата(dumb @  24.7.2007,  17:48 Найти цитируемый пост)
я не знаю, как еще можно это объяснить... 

dumb, ты издеваешься? Бл....
Все..Тема закрыта.



--------------------
Верю в смерть после жизни, в любовь после секса ,в крем после бритья smile        
PM ICQ   Вверх
Ответ в темуСоздание новой темы Создание опроса
Правила форума "C/C++: Системное программирование и WinAPI"
Fixin
GremlinProg
xvr
feodorv
  • Большое количество информации и примеров с использованием функций WinAPI можно найти в MSDN
  • Описание сообщений, уведомлений и примеров с использованием компонент WinAPI (BUTTON, EDIT, STATIC, и т.п.), можно найти в MSDN Control Library
  • Непосредственно, перед созданием новой темы, проверьте заголовок и удостоверьтесь, что он отражает суть обсуждения.
  • После заполнения поля "Название темы", обратите внимание на наличие и содержание панели "А здесь смотрели?", возможно Ваш вопрос уже был решен.
  • Приводите часть кода, в которой предположительно находится проблема или ошибка.
  • Если указываете код, пользуйтесь тегами [code][/code], или их кнопочными аналогами.
  • Если вопрос решен, воспользуйтесь соответствующей ссылкой, расположенной напротив названия темы.
  • Один топик - один вопрос!
  • Перед тем как создать тему - прочтите это .

На данный раздел распространяются Правила форума и Правила раздела С++:Общие вопросы .


Если Вам понравилась атмосфера форума, заходите к нам чаще! С уважением, Chipset, Step, Fixin, GremlinProg, xvr. feodorv.

 
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема | C/C++: Системное программирование и WinAPI | Следующая тема »


 




[ Время генерации скрипта: 0.0852 ]   [ Использовано запросов: 21 ]   [ GZIP включён ]


Реклама на сайте     Информационное спонсорство

 
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности     Powered by Invision Power Board(R) 1.3 © 2003  IPS, Inc.