Русский / Russian English / Английский

Сейчас на форуме: (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› WinAPI readfile узнать имя файла
Посл.ответ Сообщение

Ранг: 0.0 (гость)
Статус: Участник

Создано: 17 ноября 2004 07:16 · Поправил: lek New!
Цитата · Личное сообщение · #1

как узнать, какой файл будет прочитан? пользуюсь SoftICE, знаю дескриптор, а куда дальше смотреть?

Ранг: 145.8 (ветеран)
Статус: Участник
www.int3.net

Создано: 17 ноября 2004 07:21 New!
Цитата · Личное сообщение · #2

filemon?

Ранг: 0.0 (гость)
Статус: Участник

Создано: 17 ноября 2004 07:31 New!
Цитата · Личное сообщение · #3

filemon конечно хорошо, только я хочу определить имя открытого ранее файла, зная его дескриптор
из softice я же filemon не запущу..

Ранг: 145.8 (ветеран)
Статус: Участник
www.int3.net

Создано: 17 ноября 2004 07:36 New!
Цитата · Личное сообщение · #4

lek пишет:
из softice я же filemon не запущу..

а зачем тебе софтайс? ))
(советовать олю не буду, хотя надо бы)
запускаешь файлмон и ищешь в его выводе подозрительные файлы. потом ищешь обращения к этим файлам

Ранг: 136.3 (ветеран)
Статус: Участник

Создано: 17 ноября 2004 07:36 New!
Цитата · Личное сообщение · #5

Бряк на CreateFileA. Первый ее параметр (верхушка стека) - оффсет на строку с именем файла.

Ранг: 145.8 (ветеран)
Статус: Участник
www.int3.net

Создано: 17 ноября 2004 07:36 New!
Цитата · Личное сообщение · #6

может и существует какойто красивый способ, как сделать это програмно, но я чессгря не знаю. попробуй на васме по форуму поискать

Ранг: 145.8 (ветеран)
Статус: Участник
www.int3.net

Создано: 17 ноября 2004 07:46 New!
Цитата · Личное сообщение · #7

NG пишет:
попробуй на васме по форуму поискать

*вспомнив, что не все умеют пользоваться поиском*

держи http://www.wasm.ru/forum/index.php?action=vthread&forum=4&topic=5322
с тя пыво

Ранг: 0.0 (гость)
Статус: Участник

Создано: 17 ноября 2004 07:48 New!
Цитата · Личное сообщение · #8

MC707
я далеко не спец, ещё с softice до сих пор не освоился
ставлю бряк на readfile, всплывает softice, смотрю esp
4 байта - адрес возврата, следующие 4 - дескриптор файла, и т.д. куда дальше ввести этот дескриптор, чтобы узнать имя файла?

Ранг: 136.3 (ветеран)
Статус: Участник

Создано: 17 ноября 2004 07:50 New!
Цитата · Личное сообщение · #9

lek пишет:
ставлю бряк на readfile

Я ж сказал на CreateFile

Ранг: 0.0 (гость)
Статус: Участник

Создано: 17 ноября 2004 07:54 New!
Цитата · Личное сообщение · #10

NG
спасибо, сразу не заметил
как пиво передать?

MC707
это понятно, записать дескрипторы и соответствующие им имена файлов, только при каждом запуске дескрипторы будут разные, а запусков предстоит много


Спасибо за помощь всем

Ранг: 145.8 (ветеран)
Статус: Участник
www.int3.net

Создано: 17 ноября 2004 08:20 New!
Цитата · Личное сообщение · #11

lek пишет:
как пиво передать?

DHL? ;)
да лана, не стоит


Ранг: 265.2 (наставник)
Статус: Участник
very WELL :)

Создано: 17 ноября 2004 18:59 New!
Цитата · Личное сообщение · #12

DHL
 eXeL@B —› Основной форум —› WinAPI readfile узнать имя файла

Видеокурс ВЗЛОМ