[EgOrus]

Vadikan
он выкладывал эту же инфу в топик по WFP на msfn.
Он пишет что sfc_os.dll хак полностью не отключает WFP.
Основной смысл: обычно программы заменяют системные файлы путем пометки нужных файлов на переименование с заменой защищенных файлов после ребута при загрузке системы, при этом в реестре должен подниматься флаг (значние) AllowProtectedRenames, который санкционирует эту замену. Так вот при использовании патченного sfc_os.dll этот ключ появляться не будет в любом случае. Поэтому файлы заменяться не будут.
В качестве решения он предлагеет не патчить sfc_os.dll, а очистить список защищенных файлов в sfcfiles.dll.
К сожалению это никак не объясняет мою ситуацию, когда форсировано скопированные файлы заменяются на оригинальные. Причем не важно на какой стадии установки. раньше я с этим не парился, а просто подменял необходимые файлы в дистре (notepad.ex_, notepad.ch_), сейчас же пытаюсь дистр трогать как можно меньше и сразу встала проблемма с WFP.

В nlite sdc_os.dll хак теперь тоже не используется, патчится sfcfiles.dll, но в нем обнуляеются только некоторые файлы, кроме того добавляется ключ в HIVESFT.INF:
HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon","SfcDisable",0x00010000,0xFFFFFF9D

Также непонятно что делает и как отрабатывается секция [SystemFileProtection] в winnt.sif, нужно ли ее использовать при хакнутых фалах, или нужно откл. и добавлять ключик SFCDisable через реестр, в некот. же случаях SFCDisable не используют а используют SFCSettings=0, в общем инфы много и четкости в мозгах нет, хотелось бы прояснить ситуацию, если нчиего не получится, в крайнем случае придется наверное вручную вырезать из sfcfiles.dll нужные мне файлы.