Цитата:

Сообщение от BlackH

Тут пожалуй стоит взглянуть на работу аверов(как вариант).Видел как работает проактивка?
Хукаются наиболее часто используемые функи,ну а далее уже кубатурим - либо запрет на запись либо нет(выводим мессадж и.т.д).
Что делает винлок?Запись в реестр-тут к бабке не ходи,она будет.Хукаем все записи на низком уровне (в ntdll например).
По мимо реестра винлок еще много где следит.Создает окна на весь эран.А это тоже вызов определенной API с определенным параметром и это всё тоже можно хукнуть и проанализировать.

Тут с вами полностью согласен но все записи реестра хукать не стоить нужно только отладочные .... да и вин апи не стоит сильно цеплять так как многие локеры тупо гробят сами dll В которых эти записи внедряя свой код в доверенные проццесы тут стоит писать свой модуль но не на вин апи а юзая низкоуровневые языки клонируя даже функции
И ещё как правило юзать винлок не кто в постоянном авторане не будет ... а соотвественно стоит задуматься над файлом который будешь тупо из под лайв сиди вписывать в авторан и тот будет приводить реестр в порядок и чистить папки которые зарутованные .... по суте тут стоит замыслить чтение из реестра внесение информации в него на на низком уровне вообщем надо писать сеервис а не простое приложение