Guybrush Threepwood

Hast du eine Quelle das das bald kommen soll? Denn bisher hab ich nur gelesen das sowas vorgeschlagen wurde.

Aber selbst wenn müsste das ja immer noch am Bundesverfassungsgericht vorbei.

Hmm auf jeden Fall ist Win32 Konsolenanwendung der richtige Projekttyp...

Was passiert denn wenn du auf Start->Ausführen gehst und da cmd eingbist?

Die Systemdatei heißt cmd.exe, wenn du da wirklich eine cmd.com hast dann hast du wohl wirklich einen Troojaner und dann würde ich erstmal das System neu aufsetzten

Da ist der Name wohl Programm?

Was hast du denn in Visual C++ für ein Projekt erstellt?

Jep seh ich auch so, wenn zu Hause mal was nicht läuft finde ich das immer mehr als nervig. Wobei ich schon seid Wochen mal die Batterie am Mainbord meines PCs wechseln müsste, aber da ich meistens eh das Notebook benutze ist das nicht so schlimm

Ansonsten staplen sich höchstens langsam die USB Festplatten, wobei 3 eigentlich auch noch nicht so viel ist...

Indem du den Zeiger in die Struktur einfügst? oO

Allerdings sollte dein typedef vor der Struktur stehen...

Bei mir ist der bisher, seid ich das hier gemeldet habe, nicht mehr aufgetaucht

Ich würde dafür auch keinen Hash nehmen weil der einfach keinen Vorteil bringt. Es sei denn der wäre aus irgendeinem Grund schon vorhanden, aber das alle "Dateien einen hash haben" wäre mir neu bzw. das man da einfach dran kommt.

Auch am Dateiende kann man es imho nicht unbedingt fest machen denn manchmal wird ja für Backups einfach ein .bak drangehangen oder so und dann hat man evtl. 2 Dateien die gleich sind aber unterschiedliche Endungen haben.

Letzten Endes kommt man um einen Zeichenweisen vergleich nicht drum herum wenn man zwei Dateien mit der gleichen Größe findet. Da aber wohl nur wichtig ist ob zwei Dateien unterschiedlich sind kann man den ja beim ersten Unterschied abbrechen.

Wenn du mit .Net entwickeln willst wirst du da nicht drum rum kommen.

Allerdings geht das ganze auch mit Visual Studio 6, nur dann halt ohne .Net

Archibald der Weltraumtrotter

hab ich früher auch immer gerne gesehen

Na und? In VB ists das Selbe mit ner anderen Syntax

Daher wahrscheinlich auch der Name infiniteCounter...

Ansonsten sorry hab nicht weiter drüber geschaut, bei Vb bekomm ich immer Augenkrebs

char text[7];

scanf("%6s",text);[/PHP]

Aber it das nur auf deinen Seiten so oder generell? Denn hier im Forum stehen ja zum Beispiel auch alle Links in Tabellen und dann müsstest du die ja auch nicht anklicken können

Ha! Jetzt klappts

Ich hab mich mal an diesen Artikel Reading and Filtering Debugging Messages géhalten auch wenn ich ihn nicht 100% verstanden habe und einfach wie im Beispiel in der Registry unter Debug Print Filter den Wert IHVDRIVER 0x7ff eingetragen.

Die DbgPrintEx Aufrufe sehen jetzt so aus:

DbgPrintEx(DPFLTR_IHVDRIVER_ID, DPFLTR_MASK | 0x10, "DriverEntry Called \r\n");

und im DebugViewer werden alle angezeigt.

Außerdem lässt sich der Treiber jetzt auch dynamisch entladen nachdem ich den Rückgabetyp der Unload Funktion von void in VOID geändert habe. Ich dachte eigentlich das wär das Selbe, aber wohl doch nicht.

Hä?!

Erklär mal in zusammenhängenden, vernünftigen Sätzen was genau du machen willst.

nur 6 Buchstaben einzulesen?

Danke hat aber leider nicht geholfen. Ich hab jetzt mal DbgPrint durch DbgPrintEx ersetzt, aber leider funktioniert das entladen des Treibers nicht so richtig.

Das heißt wenn ich DeleteService aufrufe klappt das zwar, beim nächsten Aufruf von CreateService schlägt dieser aber fehl und der alte Service wird wieder per OpenService geöffnet bis ich neu gestartet habe.

Hab aber keine Lust jetzt dauernd neu zu starten also muss ich erstmal das Problem lösen...

Klar im Treiber hab ich natürlich auch keine printfs sondern mache das wie oben geschrieben mit DbgPrint, aber leider kommt davon nichts im DebugView an

Ok dann werd ich nach dem Update irgendwann mal drauf achten ob es nochmal kommt.

Auf Antworten, das Direktantworten hab ich noch nie verwendet

DevCpp ist eine total veralte Entwicklungsumgebung mit vielen Fehlern an der schon lange nicht mehr gearbeitet wird.

Leider wird er aber immer wieder in Tutorials oder ähnlichem von Leuten die oft selbst noch Anfänger sind empfohlen.

Den solltest du schnellst möglich ersetzten. Empfehlungen findest du hier im Forum über die Suchfunktion

Ich hab mir einen kleinen Testtreiber nach einer Anleitung geschrieben welcher in allen Funktion eine Debugausgabe per DbgPrint macht, zum Beispiel auch im DriverEntry Point.

Den Treiber hab ich dann mit dem WDK gebaut und mit folgendem Code geladen:

int main()

{

    SC_HANDLE hSCManager;

    SC_HANDLE hService;

    SERVICE_STATUS ss;


    hSCManager = OpenSCManager(NULL, NULL, SC_MANAGER_CREATE_SERVICE);


    printf("Load Driver\n");


    if(hSCManager)

    {

        printf("Create Service\n");


        hService = CreateService(hSCManager, "Driver1", 

                                 "Example Driver", 

                                  SERVICE_START | DELETE | SERVICE_STOP, 

                                  SERVICE_KERNEL_DRIVER,

                                  SERVICE_DEMAND_START, 

                                  SERVICE_ERROR_IGNORE, 

                                  "C:\\driver1.sys", 

                                  NULL, NULL, NULL, NULL, NULL);


        if(!hService)

        {

            hService = OpenService(hSCManager, "Driver1", 

                       SERVICE_START | DELETE | SERVICE_STOP);

        }


        if(hService)

        {

            printf("Start Service\n");


            StartService(hService, 0, NULL);

            printf("Press Enter to close service\r\n");

            getchar();

            ControlService(hService, SERVICE_CONTROL_STOP, &ss);


            DeleteService(hService);


            CloseServiceHandle(hService);


        }


        CloseServiceHandle(hSCManager);

    }


    return 0;

}[/PHP]

Obwohl der Treiber wohl geladen wird kann ich im Tool DebugView von Sysinternals keine Debugausgaben sehen.

Auch wenn ich in meinem Testprogramm den Treiber verwende erscheinen keine Debugausgaben.

Weiß jemand woran das liegen könnte?