Вопрос.
Кто нибудь разбирался с работой WFP в сабже? Имеются ввиду следующие вещи:
1) когда происходит подмена файла, то WFP понимает что его подменили ( если это делать на работающей системе ) и возвращает его взад.
2) когда происходит подмена файла в оффлайне ( к примеру из линуха ) то сабж все равно при загрузке понимает что его подменили.
BTW. Да это все происходит при очищенном нахрен system32\DLLCache - следовательно сравнить файлы бинарно невозможно.

теперь ВНИМАНИЕ ВОПРОС!
1) как полностью отключить сабж кто-нить знает? ( да, желательно это делать без перезагрузки ) к примеру инсталлеры разные MSI-ные они меняют файлы, и на это винда не говорит, что они левые.
2) как же все-таки проверяется оригинальность файлов-то?

[url=]http://www.insafe.ru/articles/system/2/7.htm[/url]

Почит то, что нужно. По крайней мере статья дает представление о структуре WFP. и о том, как её снимать "жестоким" способом. Похоже она вешает FS Notification . вопрос- можно ли FS notification отключить ? т.е. не в этом случае а вообще - возможно ли отключить хук на файловой системе, если не ты его ставил?