Zitat von
Metal_Snake2:
also ich hab den autor von OSAM ne mail geschrieben und er hat mir folgende antwort geschrieben:
[...]
We using our technology of direct parsing of system registry, without
using any
OS functions. [...]
also lesen sie die registry direkt ein ohne nen Treiber, komisch frag mich wie das gehen soll den die hives werden doch
exlusiv geöffnet.
Also erstens wird es wohl kaum ohne
OS-Funktionen (die umgehen einfach die Registry-APIs) gehen ... und zweitens, wer sagt dir denn, daß die keinen Treiber einsetzen? Den kann man doch Huckepack an die EXE hängen und bei Bedarf installieren.
Zitat von
Metal_Snake2:
Das mit SSDT- Hooks und co ist doch blöd, funzt das überhaupt mit Vista? Ich sollte villeicht mal echt versuchen die Registry werte aus dem Kernel direkt auszulesen.
Ja, es funktioniert bei 32bit Vista problemlos und bei 64bit Vista kann man es (wg. PatchGuard) mit ein wenig Arbeit auch erreichen. Microsoft bietet aber seit SP1 unter NDA für ISVs eine
API an um sowas wie Hooks dokumentiert zu erlauben. Aber eben unter NDA.