Как сделать перехват всех вызовов ReadFile/WriteFile и аналогично для реестра.
Хочу сделать подобие антивируса(для себя). Желательно решение без сторонних библиотек.

гугление не принесло результатов

Dima T Плохо гуглил
ассемблер не нужен

maytonCnfhsqPyfrjvsqКак сделать перехват всех вызовов ReadFile/WriteFile и аналогично для реестра.
Хочу сделать подобие антивируса(для себя). Желательно решение без сторонних библиотек.
Расскажи на каком принципе будет работать твой антивирус?
Когда какая-либо программа пытается, например, открыть файл на диске для чтения, у моего антивируса будет вызываться соответствующий обработчик типа onAccessFile(proccess_id, file_path, access_mode), в котором будут некоторые действия(логирование как минимум) и по результату программа может получить ошибку при открытии файла, если антивирус сочтёт это нужным.

Dima TCnfhsqPyfrjvsqпропущено...

Когда какая-либо программа пытается, например, открыть файл на диске для чтения, у моего антивируса будет вызываться соответствующий обработчик типа onAccessFile(proccess_id, file_path, access_mode), в котором будут некоторые действия(логирование как минимум) и по результату программа может получить ошибку при открытии файла, если антивирус сочтёт это нужным.
Читай Рихтера.

касательно dll injection там стиль изложения - ***************, перед прочтением нужно уже знать что-к-чему
Модератор: культура, это вещь обязательная

Dima TPS Антивирусы эту проблему решают на уровне драйверов.
допустим, написал я драйвер *.sys , что дальше делать?

maytonНа антивирус это немного не тянет. Посмотри registry moninor (regmon).
Для одноразового решения - он вполне тянет. Логгирует события чтения-записи.
там вроде бы оно теперь официально заменено приложением "ProcessMonitor"
кстати, наверно можно было бы сделать hook через, dll injection для этой приблуды
и тогда драйверов не пришлось бы писать

maytonЛет несколько назад сторонники пингвина долго и ожесточённо доказывали мне что
реестр - виновник всех проблем в Windows. Дескыть если хранить всё в .ini файлах
то всё было-б чики-пики и секюрно и всё такое.

Капец наивные...
Модератор: Не напрашивайся на бан, пожалуйста
концепция обеспечения секьюрити давно принципиально устарела

maytonНе в том суть. Ну получите вы тот-же самый UAC.

Какой пользователь выдержит когда в процессе установки ПО тыщу раз выскакивает
месседж с предложением разрешить или отклонить действие суть которого пользователь
НЕ ПОНИМАЕТ.

Какая должна быть эвристика чтобы распознать нейтральную запись от враждебной?
эвристика -фуфло, качественное решение может существовать только в виде администрирования

maytonCnfhsqPyfrjvsqпропущено...

эвристика -фуфло, качественное решение может существовать только в виде администрирования
Кто администрировать будет-то? Юзер? Да в гробу он видел все эти админские задачи.
Ему надо в "just one click" устанавливать игрухи, виджеты.

Вот в чём трабл! Вот где собака порылась. А вы говоорите слон администрирование. Ха...
В идеале администрирование должно работать в несколько кликов(если говорить об установке ПО).
Или это не устраивает? Тогда наслаждайтесь обрубленой сетью и бесконечной переустановкой антивируса.

maytonЯ. Не услышал. Ответа. На вопрос. - Как. Пользователь, не разбирающийся в Windows
во время установки игры или вообще любого software сможет принимать решения
о approove/reject корректировках реестра?

Ведь с этого начинался топик?

нет и обсуждение ушло в сторону

maytonДорогой анонимос. Покажите мне пример step-by-step как это могло-бы быть?

Будьте так любезны.
Нужно простое и удобное управление доступом к файлам/реестру, я думаю это можно сделать только с помощью указания шаблонов имён(wildcards).
например:
Когда программа первый раз пытается читать файл C:\documents\readme.txt
- от антивируса выскакивает диалоговое окно с сообщением "программа <name> пытается открыть C:\documents\readme.txt"
с предложением создать правило, там указываю:
запретить читать: "C:/*"
разрешить читать: "C:/documents/*"

аналогично с реестром

т.е. нужно чтобы для каждой наблюдаемой программы можно было бы
указывать список шаблонов имён ресурсов разрешённых/запрещённых для записи и чтения

кстати с рихтером разобрался, книжка сама по себе, конечно, бесполезна, зато как приложение к исходникам,
прилагаемым к книге - таки лучше чем ничего.

тепер вопрос в том какие функции перехватывать, их там оказывается очень много разных:

CreateFile
CreateFile2
CreateFileTransacted
CreateHardLink
CreateHardLinkTransacted
CreateIoCompletionPort
CreateSymbolicLink
CreateSymbolicLinkTransacted
LZOpenFile
OpenEncryptedFileRaw
OpenFile
OpenFileById
ReOpenFile

NtCreateFile
NtOpenFile