Zitat von
Dj Hackmaster A
was natürlich noch lange keinen Schutz bietet
Auf XP Rechnern ist die Datei versteckt.(Außerdem wieso schutz?)
Zitat von
Dj Hackmaster A
abgesehen davon ist die Funktion auch schwachsinnig, da du im Falle eines Treffers in einer Endlosschleife endest bis der Stack überläuft.).
Nein. FindNextFile() hangelt sich an einer LinkedList entlang ( NtQueryDirectoryFile() gibt diese liste an FindNextFile() (vereinfacht)).
Beim jedem aufruf von
Code:
Original_FindNextFileW(hFindFile, lpFindFileData);
wird der nächste eintraf in lpFindFileData kopiert.
Also:
LinkedListe von NtQue..() (verinfacht):
dir1\x00bot.exe\x00file1.txt
1 Aufruf (von explorer.exe) von Hooked_FindNextFileW:
lpFindFileData = "dir1".
Wird zurückgegeben.
2 Aufruf (von explorer.exe) ...:
lpFindFileData = "bot.exe"
Wird nicht zurückgegben sondern:
3 Aufruf (von bot.exe (injected in explorer,exe)) von Hooked_FindNextFileW:
lpFindFileData = "file1.txt"
Wird normal zurückgegeben.