Конференция VBStreets

[end3r]

Подскажите, можно ли как-то узнать, к каким файлам обращается винда, после запуска какого-нибудь экзешника?
Если да, то как?

[Twister]

Что ты имеешь ввиду под "к каким файлам обращается винда, после запуска какого-нибудь экзешника"? Имеется ввиду какой-то конкретный ЕХЕ? Тогда FileMon тебе в руки и ты увидишь к каким файлам обращается этот экзешник. А винда при его запуске обращается только к ядру, больше никуда.

[marvan]

Это надо API - монитор писать (перехват вызовов функций), заточенный под работу с файлами. В форуме встречались решения на VB.

[ANDLL]

Что самое интересное, обращения именно оси к файлам, сии перехватчики не обнаружат.
Кроме того, автору следует иметь ввиду, что прием, основанный на правке таблиц в других процессах является признаком написания вирусных программ.

[Twister]

Кроме того, автору следует иметь ввиду, что прием, основанный на правке таблиц в других процессах является признаком написания вирусных программ.

Да, посему лучше сплайсингом, но это на ВБ проблематично...

Что самое интересное, обращения именно оси к файлам, сии перехватчики не обнаружат.

Вот FileMon, например, перехват ведет в ядре (я правда не помню каким именно способом) - следовательно ни одна юзермодная жаба мимо него не пройдет, да и в ядре это сложновато будет. Но система, видать, действует в обход. Это как прикол с Кашперским - его драйвер тоже перехватывает ядерные экспорты, но однако под отладкой его замочить все же можно...

[end3r]

Гм. Про "правку таблиц других процессов" я ничего не знаю, к тому же я пишу не вирус.
Я так и не понял, объясните, что и какие функции API мне надо использовать?
Вот что мне требуется, для примера.
Допустим я запускаю файл setup.exe. После этого винда обращается к файлам setup.ini, rundll32.exe, kernel32.dll... не знаю, для примера.
Вот именно ЭТИ файлы прога должна показать.

[Twister]

После этого винда обращается к файлам setup.ini, rundll32.exe, kernel32.dll... не знаю, для примера.

Да не обращается ни куда винда... Скажи, тебе нужно отловить попытку чтения файлов, записи, чтения атрибутов или факт перечисления (просмотра) файлов?

[Debugger]

1. Какие файлы необходимы для запуска?
2. Какие файлы прога "хавает" (там run.ini)
3. Какие библиотеки нужны, чтоль?

[ANDLL]

Это требуется сделать один раз у себя дома?
Тогда ищи программу FileMon. Она покажет, какие файлы программа использует.
Статические слинкованные dll там не отобразятся, что бы узнать про них нужно воспользоваться программой Dependency Walker, которая идет в поставке с VIsual Studion.

[Twister]

end3r

Тогда FileMon тебе в руки и ты увидишь к каким файлам обращается этот экзешник

Тогда ищи программу FileMon. Она покажет, какие файлы программа использует.

Ты не читаешь собственный топик чтоль?